'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe

e-schubser · 30.01.2011, 16:39

Guten Tag liebe Leute,

ich habe mir anscheinend einen/mehrere Trojaner eingefangen und bin beim Googlen auf Euer Board gestoßen.

Ich dachte eigentlich mit dem Computer umgehen zu können, habe aber dann gemerkt, dass meine Fähigkeiten lange nicht ausreichen um dem Problem Herr zu werden.

Also in kurz. Ich brauche Hilfe, und wäre glücklich sie hier zu bekommen.

Ich hoffe mich gemäß der Hausordnung zu verhalten und nichts falsch zu machen. Ausserdem habe ich die Load.exe Variante gewählt und entsprechende Logfiles produziert (Anhang).

Mein Virenscanner (AntiVir) zeigt inzwischen auch keine Funde mehr an aber aus dem mbam logfile entnehme ich, dass noch ein paar infizierte Objekte ihre Party feiern.

Ich hoffe Ihr könnt mit den Logfiles (Als Zip Archiv im Anhang) etwas anfangen und mir eine Lösung verraten.

Vielen Dank schon einmal im Voraus,

der e-schubser.

cosinus · 30.01.2011, 20:58

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

e-schubser · 31.01.2011, 20:11

Hallo Cosinus und Ihr anderen Helfer,

vielen Dank, dass Du dich meinem Problem angenommen hast!
Ich habe inzwischen zwei ausführlichere Vollscans mit Malwarebytes gemacht (Siehe die Logfiles im Anhang).

Der erste Ergab noch ich glaube einen oder zwei Treffer, die ich dann entfernen ließ. Der zweite brachte keine Treffer Mehr.

Die Einschätzung ob mein Rechner wieder fehlerfrei funktioniert oder ob nur die Symptome behoben wurden überlasse ich lieber Euren geschulten Augen.

Beste Grüße

der e-schubser

cosinus · 31.01.2011, 21:16

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O4 - HKCU..\Run: [{95971F7C-CC5F-3CF4-D819-705F1AE51B92}]  File not found
O4 - HKCU..\Run: [userHelpdlg] C:\Users\Elvis\AppData\Local\i18cfgaudio\userHelpdlg.dll ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2001.02.24 19:09:40 | 000,000,046 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{170c5a6d-174c-11e0-b5c2-fa6b9cb63ae3}\Shell - "" = AutoRun
O33 - MountPoints2\{170c5a6d-174c-11e0-b5c2-fa6b9cb63ae3}\Shell\AutoRun\command - "" = H:\laucher.exe
O33 - MountPoints2\{4a390c74-d904-11df-960a-9c12a71b46c0}\Shell - "" = AutoRun
O33 - MountPoints2\{4a390c74-d904-11df-960a-9c12a71b46c0}\Shell\AutoRun\command - "" = H:\laucher.exe
O33 - MountPoints2\{78471621-093a-11dd-88d0-00059a3c7800}\Shell - "" = AutoRun
O33 - MountPoints2\{78471621-093a-11dd-88d0-00059a3c7800}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O33 - MountPoints2\{9fecc2a9-123e-11dd-9e39-00030d7e221b}\Shell\AutoRun\command - "" = Setup.exe
O33 - MountPoints2\{c2a60aa4-2897-11dd-8af4-00030d7e221b}\Shell - "" = AutoRun
O33 - MountPoints2\{c2a60aa4-2897-11dd-8af4-00030d7e221b}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O33 - MountPoints2\{eabd2e60-7b9d-11df-9195-ef079cdb74d6}\Shell - "" = AutoRun
O33 - MountPoints2\{eabd2e60-7b9d-11df-9195-ef079cdb74d6}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\SETUP.EXE -- [2001.03.09 11:28:54 | 000,069,632 | R--- | M] ()
O33 - MountPoints2\H\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\laucher.exe
[2011.01.25 18:59:11 | 000,000,000 | ---D | M] -- C:\Users\Elvis\AppData\Roaming\29388
[2011.01.30 10:55:54 | 000,000,000 | ---D | M] -- C:\Users\Elvis\AppData\Roaming\Ginaaq
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:24051EFF
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

e-schubser · 31.01.2011, 21:47

Hallo Cosinus,

hab ich gemacht (das Logfile ist im Anhang).

Vielen Dank! Ich hoffe Du kannst damit etwas anfangen.

Grüße,

der e-schubser.

cosinus · 31.01.2011, 21:55

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

e-schubser · 01.02.2011, 18:10

Guten Abend,

nach der Arbeit habe ich nun wieder Zeit mich meinem Rechner zu widmen...
Über die letzte Nacht lief ComboFix über dem Rechner, nachdem ccsetup ausgeführt wurde.

ccsetup verlief wie beschrieben problemlos.

ComboFix ist aber am Ende, nach dem ich die Script Box geschlossen hatte mit einem leerem Bildschirm hängen geblieben. Hab ich aber erst gemerkt als ich heute nachmittag nach Hause kam. Also an ungeduld sollte es nicht gelegen haben.

Das CoFi Logfile ist wie gewohnt im Anhang (schien mir zu lang um das Zeug hier einzufügen). Wenn aber das Einfügen im Fließtext gewollt wird bitte ich um Verzeihung und werde es nachholen.

Bis in bälde,

der e-schubser ,

cosinus · 01.02.2011, 19:48

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

e-schubser · 01.02.2011, 21:27

Lieber Cosinus

ich hab die drei Scans gemacht und es lief auch alles problemlos.

Hier das GMER Log:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-01 21:08:22
Windows 6.0.6000  Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD16 rev.04.0
Running: g2m3e4r.exe; Driver: C:\Users\Elvis\AppData\Local\Temp\kwroapod.sys


---- System - GMER 1.0.15 ----

SSDT            8BB0C6A8                                                                                                             ZwOpenProcess
SSDT            8BB0C6AD                                                                                                             ZwOpenThread

---- Kernel code sections - GMER 1.0.15 ----

?               C:\Windows\System32\Drivers\sptd.sys                                                                                 Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           USBPORT.SYS!DllUnload                                                                                                8C072FEB 3 Bytes  JMP 8807E720 
.text           USBPORT.SYS!DllUnload + 4                                                                                            8C072FEF 1 Byte  [FC]
?               System32\Drivers\a8m1wwtt.SYS                                                                                        Das System kann den angegebenen Pfad nicht finden. !
.text           C:\Windows\system32\DRIVERS\atksgt.sys                                                                               section is writeable [0x9D0FC300, 0x3AE88, 0xE8000020]
.text           C:\Windows\system32\DRIVERS\lirsgt.sys                                                                               section is writeable [0x8BAA6300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[5132] USER32.dll!TrackPopupMenu                                7604CF70 5 Bytes  JMP 6B132342 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[5600] ntdll.dll!LdrLoadDll                                              7795EB00 5 Bytes  JMP 009E13F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                            [8072B604] \SystemRoot\System32\Drivers\sptd.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                             [8072AABA] \SystemRoot\System32\Drivers\sptd.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                     [8072B72E] \SystemRoot\System32\Drivers\sptd.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort]                                            [8072AB82] \SystemRoot\System32\Drivers\sptd.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                      [8072AC00] \SystemRoot\System32\Drivers\sptd.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [8073DA9A] \SystemRoot\System32\Drivers\sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                                 [7478FBC8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                             [7475B9AA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]                       [7474A31F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]                         [7474CBFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                              [74748AB2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]                     [7475CF28] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                             [74747D98] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                              [74747CFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                               [74746A64] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]                       [747DC1D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]                          [74767F56] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                             [747490CD] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                                       [74752179] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                                      [747521A4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                                [74757F1C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                                 [74757D3E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]                  [747883D5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               8469E1D8
Device          \FileSystem\fastfat \FatCdrom                                                                                        8F63D980
Device          \Driver\volmgr \Device\VolMgrControl                                                                                 846981D8
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                     881461D8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                     881461D8
Device          \Driver\usbehci \Device\USBPDO-2                                                                                     880E6980
Device          \Driver\netbt \Device\NetBT_Tcpip_{CD163221-B5F1-40C0-9455-7EEBDE7AA4C4}                                             8F620980
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                     881461D8
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                     881461D8
Device          \Driver\usbuhci \Device\USBPDO-5                                                                                     881461D8
Device          \Driver\usbehci \Device\USBPDO-6                                                                                     880E6980
Device          \Driver\volmgr \Device\HarddiskVolume1                                                                               846981D8
Device          \Driver\volmgr \Device\HarddiskVolume2                                                                               846981D8
Device          \Driver\cdrom \Device\CdRom0                                                                                         881817B0
Device          \Driver\volmgr \Device\HarddiskVolume3                                                                               846981D8
Device          \Driver\cdrom \Device\CdRom1                                                                                         881817B0
Device          \Driver\volmgr \Device\HarddiskVolume4                                                                               846981D8
Device          \Driver\00000062 \Device\00000075                                                                                    sptd.sys
Device          \Driver\netbt \Device\NetBt_Wins_Export                                                                              8F620980
Device          \Driver\netbt \Device\NetBT_Tcpip_{0D61DC6E-99A3-48CA-8731-6CA20E8D76E4}                                             8F620980
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                     881461D8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                     881461D8
Device          \Driver\usbehci \Device\USBFDO-2                                                                                     880E6980
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                     881461D8
Device          \Driver\usbuhci \Device\USBFDO-4                                                                                     881461D8
Device          \Driver\usbuhci \Device\USBFDO-5                                                                                     881461D8
Device          \Driver\usbehci \Device\USBFDO-6                                                                                     880E6980
Device          \Driver\a8m1wwtt \Device\Scsi\a8m1wwtt1                                                                              881601D8
Device          \Driver\a8m1wwtt \Device\Scsi\a8m1wwtt1Port4Path0Target0Lun0                                                         881601D8
Device          \FileSystem\fastfat \Fat                                                                                             8F63D980

AttachedDevice  \FileSystem\fastfat \Fat                                                                                             fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   293663163
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   -1736083541
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x68 0xF9 0x8F 0x2A ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x0D 0x62 0xC9 0x07 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x94 0xD0 0xA3 0x35 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x68 0xF9 0x8F 0x2A ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x0D 0x62 0xC9 0x07 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x94 0xD0 0xA3 0x35 ...

---- EOF - GMER 1.0.15 ----

--- --- ---

Hier das OSAM Log:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:14:13 on 01.02.2011

OS: Windows Vista Home Premium Edition (Build 6000), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[AppInit DLLs]
-----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )-----
"AppInit_DLLs" - "Sophos Plc" - C:\PROGRA~1\Sophos\SOPHOS~1\sophos_detoured.dll

[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"PROSet Tools" - "Intel(R) Corporation" - C:\Program Files\Intel\WiFi\bin\iproset.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a8m1wwtt" (a8m1wwtt) - ? - C:\Windows\system32\drivers\a8m1wwtt.sys  (Hidden registry entry, rootkit activity | File not found)
"atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Elvis\AppData\Local\Temp\catchme.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\Windows\system32\Drivers\CVPNDRVA.sys
"cvintdrv" (cvintdrv) - ? - C:\Windows\system32\drivers\cvintdrv.sys  (File found, but it contains no detailed information)
"Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32 Bit" (NETw4v32) - "Intel Corporation" - C:\Windows\System32\DRIVERS\NETw4v32.sys
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"kwroapod" (kwroapod) - ? - C:\Users\Elvis\AppData\Local\Temp\kwroapod.sys  (Hidden registry entry, rootkit activity | File not found)
"lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"NSNDIS5 NDIS Protocol Driver" (NSNDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\Windows\system32\NSNDIS5.SYS
"SAVOnAccess" (SAVOnAccess) - "Sophos Plc" - C:\Windows\System32\DRIVERS\savonaccess.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - c:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - ? - C:\Program Files\Microsoft Office\Visio11\VISSHE.DLL
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D} "ContextMenuHandler Class" - "Sophos Plc" - C:\Program Files\Sophos\Sophos Anti-Virus\SavShellExt.dll
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - ? - C:\Program Files\Microsoft Office\Visio11\VISSHE.DLL
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONFILTER.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{5D637FAD-E202-48D1-8F18-5B9C459BD1E3} "Image Uploader Control" - "Aurigma, Inc." - C:\Windows\Downloaded Program Files\ImageUploader5.ocx / hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1225361157
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash9f.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{39EA7695-B3F2-4C44-A4BC-297ADA8FD235} "Sophos Web Content Scanner" - "Sophos Plc" - C:\Program Files\Sophos\Sophos Anti-Virus\SophosBHO.dll
{02478D38-C3F9-4efb-9B51-7695ECA05670} "{02478D38-C3F9-4efb-9B51-7695ECA05670}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Elvis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"IAAnotif" - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Automatisches LiveUpdate - Scheduler" (Automatisches LiveUpdate - Scheduler) - ? - "C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
"Fujitsu Siemens Computers Diagnostic Testhandler" (TestHandler) - "Fujitsu Siemens Computers" - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Intel(R) Matrix Storage Event Monitor" (IAANTMON) - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel(R) Corporation" - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel(R) Corporation" - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
"Lookout Citadel Server" (LkCitadelServer) - "National Instruments, Inc." - C:\Windows\system32\lkcitdl.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"National Instruments Domain Service" (NIDomainService) - "National Instruments Corporation" - C:\Program Files\National Instruments\Shared\Security\nidmsrv.exe
"National Instruments PSP Server Locator" (lkClassAds) - "National Instruments Corporation" - C:\Windows\system32\lkads.exe
"National Instruments Time Synchronization" (lkTimeSync) - "National Instruments Corporation" - C:\Windows\system32\lktsrv.exe
"National Instruments Variable Engine" (NITaggerService) - "National Instruments Corporation" - C:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe
"NI Configuration Manager" (mxssvr) - "National Instruments Corporation" - C:\Program Files\National Instruments\MAX\nimxs.exe
"NI Service Locator" (niSvcLoc) - "National Instruments Corporation" - C:\Windows\system32\nisvcloc.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"OpcEnum" (OpcEnum) - "OPC Foundation" - C:\Windows\system32\OpcEnum.exe
"Sophos Anti-Virus" (SAVService) - "Sophos Plc" - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
"Sophos Anti-Virus Statusreporter" (SAVAdminService) - "Sophos Plc" - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
"Sophos AutoUpdate Service" (Sophos AutoUpdate Service) - "Sophos Plc" - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - "Fujitsu Siemens Computers" - c:\windows\system32\Fujits~1.scr

===[ Logfile end ]=========================================[ Logfile end ]===

und hier das MBRCheck Log:

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows Vista Home Premium Edition
Windows Information:		 (build 6000), 32-bit
Base Board Manufacturer:	FUJITSU SIEMENS
BIOS Manufacturer:		Phoenix
System Manufacturer:		FUJITSU SIEMENS
System Product Name:		AMILO Pi 2530
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 154):
  0x82800000 \SystemRoot\system32\ntkrnlpa.exe
  0x82BA2000 \SystemRoot\system32\hal.dll
  0x802C6000 \SystemRoot\system32\kdcom.dll
  0x80266000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x8025D000 \SystemRoot\system32\PSHED.dll
  0x80255000 \SystemRoot\system32\BOOTVID.dll
  0x8021A000 \SystemRoot\system32\CLFS.SYS
  0x8051F000 \SystemRoot\system32\CI.dll
  0x804A4000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8020D000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x80729000 \SystemRoot\System32\Drivers\sptd.sys
  0x80204000 \SystemRoot\System32\Drivers\WMILIB.SYS
  0x8047E000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
  0x8043B000 \SystemRoot\system32\drivers\acpi.sys
  0x80433000 \SystemRoot\system32\drivers\msisadrv.sys
  0x80424000 \SystemRoot\system32\drivers\volmgr.sys
  0x80704000 \SystemRoot\system32\drivers\pci.sys
  0x80201000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x8041A000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x8040A000 \SystemRoot\System32\drivers\mountmgr.sys
  0x80403000 \SystemRoot\system32\drivers\intelide.sys
  0x806F6000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x806DD000 \SystemRoot\system32\drivers\nvraid.sys
  0x806BC000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x80672000 \SystemRoot\System32\drivers\volmgrx.sys
  0x82742000 \SystemRoot\system32\DRIVERS\iaStor.sys
  0x80636000 \SystemRoot\system32\DRIVERS\iaNvStor.sys
  0x8062E000 \SystemRoot\system32\drivers\atapi.sys
  0x80610000 \SystemRoot\system32\drivers\ataport.SYS
  0x82724000 \SystemRoot\system32\drivers\vsmraid.sys
  0x826E4000 \SystemRoot\system32\drivers\storport.sys
  0x826B3000 \SystemRoot\system32\drivers\fltmgr.sys
  0x80600000 \SystemRoot\system32\drivers\fileinfo.sys
  0x886FC000 \SystemRoot\system32\drivers\ndis.sys
  0x82688000 \SystemRoot\system32\drivers\msrpc.sys
  0x8264F000 \SystemRoot\system32\drivers\NETIO.SYS
  0x888F8000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x88692000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x82619000 \SystemRoot\system32\drivers\volsnap.sys
  0x82611000 \SystemRoot\System32\Drivers\spldr.sys
  0x82602000 \SystemRoot\System32\drivers\partmgr.sys
  0x88683000 \SystemRoot\System32\Drivers\mup.sys
  0x8865E000 \SystemRoot\System32\drivers\ecache.sys
  0x8864D000 \SystemRoot\system32\drivers\disk.sys
  0x88644000 \SystemRoot\system32\drivers\crcdisk.sys
  0x89600000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8C0E3000 \SystemRoot\system32\DRIVERS\tunmp.sys
  0x8BA47000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x8BAE7000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x8C72B000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8C68C000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8BA55000 \SystemRoot\System32\drivers\watchdog.sys
  0x8C292000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x8C043000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8BA23000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8BA11000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8D1ED000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
  0x8C001000 \SystemRoot\system32\DRIVERS\Rtlh86.sys
  0x8C23B000 \SystemRoot\system32\DRIVERS\itecir.sys
  0x8C228000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8C29D000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8C2A8000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8C210000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8C412000 \SystemRoot\System32\Drivers\a8m1wwtt.SYS
  0x8D1CF000 \SystemRoot\system32\DRIVERS\dne2000.sys
  0x8D1A4000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x8C2B3000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8D18D000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8C2BE000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x8D16A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x8C11F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x8D157000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x8C12E000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x896E5000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8D12D000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8BA03000 \SystemRoot\system32\DRIVERS\circlass.sys
  0x8C466000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8C5BC000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x8C0B6000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8D0F9000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x89290000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x8EE0F000 \SystemRoot\system32\DRIVERS\smserial.sys
  0x8C5C9000 \SystemRoot\system32\drivers\modem.sys
  0x8F452000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x8E612000 \SystemRoot\system32\drivers\portcls.sys
  0x8E859000 \SystemRoot\system32\drivers\drmk.sys
  0x8C2C9000 \SystemRoot\system32\DRIVERS\hidir.sys
  0x892F0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x8BB25000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x8C0C8000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x8BB90000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x8E833000 \SystemRoot\system32\DRIVERS\savonaccess.sys
  0x8C0DA000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x8BB33000 \SystemRoot\System32\Drivers\Null.SYS
  0x8BB3A000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8C508000 \SystemRoot\System32\drivers\vga.sys
  0x8E812000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8BBD8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8BB88000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8C2DF000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8C404000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8C0EC000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0x8F33C000 \SystemRoot\System32\drivers\tcpip.sys
  0x8EC1F000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8EA03000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8EC0B000 \SystemRoot\system32\DRIVERS\smb.sys
  0x8F2F5000 \SystemRoot\system32\drivers\afd.sys
  0x8F2C3000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8F2AD000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8E604000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8F29A000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x89663000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x8F25F000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8C47A000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x8F248000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8F9DA000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x8889B000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x896A1000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x8F922000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x8C3DE000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0x8C5FD000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x8F864000 \SystemRoot\System32\Drivers\dump_iaStor.sys
  0x97600000 \SystemRoot\System32\win32k.sys
  0x8C4DE000 \SystemRoot\System32\drivers\Dxapi.sys
  0x8C1D3000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x80E00000 \SystemRoot\System32\TSDDD.dll
  0x80E10000 \SystemRoot\System32\cdd.dll
  0x810D5000 \SystemRoot\system32\drivers\luafv.sys
  0x810C0000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x9AB72000 \SystemRoot\system32\drivers\spsys.sys
  0x892C0000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x9B4D5000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x8C4D4000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x99820000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9C557000 \SystemRoot\system32\drivers\HTTP.sys
  0x99925000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9B401000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x9AA25000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x9C4F7000 \SystemRoot\system32\drivers\mrxdav.sys
  0x9C4D9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x9C4A0000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9C48E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9C46A000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9D1AF000 \SystemRoot\System32\DRIVERS\srv.sys
  0x8C350000 \SystemRoot\System32\Drivers\cvintdrv.SYS
  0x9D0FC000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0x9D02C000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys
  0x8BAA6000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0x9E232000 \SystemRoot\system32\drivers\peauth.sys
  0x8C4A2000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x8C337000 \SystemRoot\System32\drivers\tcpipreg.sys
  0xA0A1A000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0x811E8000 \??\C:\Users\Elvis\AppData\Local\Temp\kwroapod.sys
  0x77930000 \Windows\System32\ntdll.dll

Processes (total 68):
       0 System Idle Process
       4 System
     508 C:\Windows\System32\smss.exe
     640 csrss.exe
     692 C:\Windows\System32\wininit.exe
     700 csrss.exe
     740 C:\Windows\System32\services.exe
     752 C:\Windows\System32\lsass.exe
     760 C:\Windows\System32\lsm.exe
     828 C:\Windows\System32\winlogon.exe
     948 C:\Windows\System32\svchost.exe
    1024 C:\Windows\System32\svchost.exe
    1052 C:\Windows\System32\svchost.exe
    1108 C:\Windows\System32\Ati2evxx.exe
    1132 C:\Windows\System32\svchost.exe
    1156 C:\Windows\System32\svchost.exe
    1176 C:\Windows\System32\svchost.exe
    1352 C:\Windows\System32\audiodg.exe
    1376 C:\Windows\System32\svchost.exe
    1392 C:\Windows\System32\SLsvc.exe
    1440 C:\Windows\System32\svchost.exe
    1512 C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
    1588 C:\Windows\System32\Ati2evxx.exe
    1952 C:\Windows\System32\svchost.exe
     436 C:\Windows\System32\wlanext.exe
     632 C:\Windows\System32\spoolsv.exe
     848 C:\Program Files\Avira\AntiVir Desktop\sched.exe
     940 C:\Windows\System32\svchost.exe
    2064 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    2108 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    2148 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
    2164 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
    2264 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
    2400 C:\Windows\System32\lkcitdl.exe
    2412 C:\Windows\System32\lkads.exe
    2424 C:\Windows\System32\lktsrv.exe
    2464 C:\Program Files\National Instruments\MAX\nimxs.exe
    2480 C:\Program Files\National Instruments\Shared\Security\nidmsrv.exe
    2572 C:\Windows\System32\nisvcloc.exe
    2620 C:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe
    2720 C:\Windows\System32\svchost.exe
    2740 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
    2784 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    2824 C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
    2912 C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
    3020 C:\Windows\System32\svchost.exe
    3052 C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe
    3100 C:\Windows\System32\svchost.exe
    3168 C:\Windows\System32\SearchIndexer.exe
    4072 C:\Windows\System32\alg.exe
    4080 WmiPrvSE.exe
    3752 C:\Windows\System32\taskeng.exe
    1360 C:\Program Files\Google\Update\GoogleUpdate.exe
    3544 C:\Windows\System32\dwm.exe
    1668 C:\Windows\System32\taskeng.exe
    2432 C:\Windows\explorer.exe
    4164 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
    4176 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    4200 C:\Program Files\Windows Sidebar\sidebar.exe
    4212 C:\Windows\ehome\ehtray.exe
    4396 C:\Windows\ehome\ehmsas.exe
    4784 C:\Windows\System32\wbem\unsecapp.exe
    5600 C:\Program Files\Mozilla Firefox\firefox.exe
    5132 C:\Program Files\Mozilla Firefox\plugin-container.exe
    6060 C:\Users\Elvis\Desktop\osam_autorun_manager_5_0_portable\osam.exe
    4752 C:\Windows\System32\SearchProtocolHost.exe
    2708 C:\Users\Elvis\Desktop\MBRCheck.exe
    4764 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`ee100000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000019`fb400000  (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVS-07RST0, Rev: 04.01G04

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0   Windows 2008 MBR code detected
            SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Im Anhang ist nochmal das gleiche...

Vielen Dank für die hervorragende Betreuung und Beste Grüße,

der e-schubser

cosinus · 01.02.2011, 21:33

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

e-schubser · 02.02.2011, 18:21

Hab ich gemacht.
MBAM berichtet keine Funde.
SUPERAntiSpyware berichtet von einem Fund. Mehr kann ich aus den Logfiles nicht erkennen.

Hier das Malwarebytes Anti Malware Log:

Code:

ATTFilter

alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5657

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

02.02.2011 07:37:20
mbam-log-2011-02-02 (07-37-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 344405
Laufzeit: 1 Stunde(n), 11 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier das SUPERAntiSpyware Log:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/01/2011 at 11:57 PM

Application Version : 4.48.1000

Core Rules Database Version : 6320
Trace Rules Database Version: 4132

Scan type       : Complete Scan
Total Scan Time : 01:55:16

Memory items scanned      : 710
Memory threats detected   : 0
Registry items scanned    : 8988
Registry threats detected : 0
File items scanned        : 199994
File threats detected     : 1

Trojan.Agent/Gen-FakeSecurity
	C:\_OTL\MOVEDFILES\01312011_213343\C_USERS\ELVIS\APPDATA\ROAMING\29388\PDMN2.EXE

Beste Grüße,

der e-schubser

cosinus · 02.02.2011, 21:14

Da wurde nur ein isolierter Eintrag gefunden, ist harmlos weil wir den mit OTL unschädlich gemacht haben.
Noch probleme oder nun alles ok mit dem Rechner?

e-schubser · 03.02.2011, 08:24

Lieber Cosinus,

der Rechner läuft wieder wie neu!
Mir ist nichts weiter aufgefallen.

Seh ich das richtig, dass der Rechner wieder bereinigt ist?

Wenn ja dann bedanke ich mich herzlichst für die schnelle und kompetente Hilfe und hoffe, dass ich in Zukunft verschont bleibe von Viren, Würmer und Trojanern.

Euer e-schubser.

cosinus · 03.02.2011, 12:04

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

e-schubser · 03.02.2011, 16:46

Wird gemacht und nochmals vielen Dank!!

01.02.2011, 21:33	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe - Standard$ 'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

02.02.2011, 21:14	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe - Standard$ 'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe Da wurde nur ein isolierter Eintrag gefunden, ist harmlos weil wir den mit OTL unschädlich gemacht haben. Noch probleme oder nun alles ok mit dem Rechner? __________________ Logfiles bitte immer in CODE-Tags posten

'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe

Plagegeister aller Art und deren Bekämpfung: 'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe