Trojaner TR/Crypt.XPACK.Gen3 eingefangen | Sicherheitscenter deaktiviert sich automatisch

r0b · 02.02.2011, 11:36

Hallo liebes Trojaner-Board-Team.
Ich bin neu hier, also erstmal "Hallo" an alle und schonmal im Vorraus ein Dankeschön, dass ihr hier unwissenden Menschen wie mir tatkräftig zur Seite steht und helft den Computer wieder schädlingsfrei zu machen.

Ich habe mir letzte Woche den Trojaner Crypt.XPACK.Gen3 eingefangen, das hat mir AntiVir gemeldet.
Daraufhin habe ich meinen Laptop abgebaut und ihn zu einem Kollegen meines Vaters gebracht, der sich mit solchen Sachen etwas bessser auskennt.
Dieser hat ihn dann versucht zu bereinigen (mit irgend einem Programm was unter Linux ausgeführt wurde, den Namen weiß ich allerdings nicht) und mir statt AntiVir avast! und Malwarebytes installiert.
Jetzt ist der Laptop wieder bei mir und ich musste feststellen, dass sich das Sicherheitscenter weiterhin selbstständig deaktiviert, auch wenn man es vorher unter "Dienste" aktiviert hat. Beim Windows Defender verhält es sich ebenso.
Bis dieser Kollege sich den Laptop angeschaut hatte, waren auch noch die Minianwendungen defekt (in der Registry hat sich immer wieder ein Eintrag über der 0 in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ Zones\ festgesetzt)
Dieser Fehler tritt nicht mehr auf.

Ich habe jetzt einen Scan mit OTL gemacht und poste noch die Log-Files von den Malewarebytes-Scans.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5633

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.01.2011 12:48:15
mbam-log-2011-01-29 (12-48-15).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152858
Laufzeit: 8 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\CL2GFOKBC9 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5633

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.01.2011 16:44:19
mbam-log-2011-01-30 (16-44-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 261324
Laufzeit: 1 Stunde(n), 3 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5640

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.01.2011 17:14:17
mbam-log-2011-01-30 (17-14-17).txt

Art des Suchlaufs: Flash-Scan
Durchsuchte Objekte: 100411
Laufzeit: 1 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich hoffe bis hier hin habe ich alles richtig gemacht und mich an eure Regeln gehalten.

LG Robert

cosinus · 02.02.2011, 22:10

Zitat:

Art des Suchlaufs: Flash-Scan
Durchsuchte Objekte: 100411
Laufzeit: 1 Minute(n), 10 Sekunde(n)

hallo und

Von wo hast du diese malwarebytes-Version?

r0b · 02.02.2011, 22:26

Hey,
danke erstmal fürs Willkommen heißen.
Wiegesagt, das hat ein Kollege von meinem Vater drauf gemacht (wir haben eine Computerfirma).

cosinus · 02.02.2011, 23:43

Zitat:

(wir haben eine Computerfirma).

Und warum gibt es dann kein Support von der Firma? Zum Tool reicht es, aber dann?
Sry für die Nachfragen, aber ich versuch ein wenig Hintergrundinfos zu bekommen

r0b · 03.02.2011, 08:18

Naja ich studiere auswärts und bin nur am Wochenende daheim, da ist die Kommunikation schon etwas schwieriger und außerdem denke ich, dass ihr dafür eher die Spezialisten seid :-)
Der Mitarbeiter hat ja schon bissl was gemacht, aber anscheinend nicht alles runter bekommen.

cosinus · 03.02.2011, 12:02

Zitat:

Der Mitarbeiter hat ja schon bissl was gemacht, aber anscheinend nicht alles runter bekommen.

Vllt hättest du auch mal die Güte zu beschrieben was er gemacht hat.
Einen halb zerfrickelten Rechner hier nochmal analysieren lassen, meinst du echt der Zeitaufwand lohnt sich? Was ist mit der sauberen Lösung: Datensicherung plus Neuinstallation des OS?

r0b · 03.02.2011, 12:50

Zitat:

Dieser hat ihn dann versucht zu bereinigen (mit irgend einem Programm was unter Linux ausgeführt wurde, den Namen weiß ich allerdings nicht) und mir statt AntiVir avast! und Malwarebytes installiert.

mehr weiß ich leider auch nicht.
Ich dachte halt es gibt ein Schema F was es nacheinander auszuführen gilt um festzustellen, ob oder wie stark die Infizierung ist.
Ich habe vorher in dem Thread "Malware gefunden und entfernt - Sicherheitscenter deaktiviert sich automatisch " gelesen und da klang das alles so eindeutig.
Wenn du mir jetzt allerdings sagst, eine Neuauflegung des Systems wäre das sinnvollste, mache ich das natürlich so.

LG Robert

cosinus · 03.02.2011, 13:50

Naja, man kann eine weitere Bereinigung natürlich noch machen. Sicherer/besser ist natürlich eine Neuinstallation, hat aber den Nachteil, dass du danach den Rechner neu einrichten muss, also alle Programme/Treiber installieren, Daten aus dem Backup restoren etc. pp.

Entscheide dich entweder für das eine oder andere.

r0b · 03.02.2011, 14:23

Ich würde gerne unter deiner Anleitung eine weitere Bereinigung vornehmen.

cosinus · 03.02.2011, 16:17

Wie du wünscht

Bevor du aber weitere Schritte zur Entfernung machst, stell sicher, dass alles relevante auf externe Medien (DVD, ext. Festplatte, whatever) gesichert ist. Dann kannste hiermit loslegen:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2011.01.27 16:20:25 | 000,110,592 | RHS- | C] () -- C:\Windows\System32\brdgcfgi.dll
[2011.01.27 16:20:25 | 000,000,316 | -HS- | C] () -- C:\Windows\tasks\Kbkqagemb.job
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:661DFA1C
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:364682BC
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

r0b · 03.02.2011, 20:29

Hey, hier das Logfile.
Ich bin übers Wochenende nicht da, also wird es etwas dauern, bis ich wieder antworten kann. Nur, damit du Bescheid weißt

Danke schonmal bis hier her!

Code:

ATTFilter

All processes killed
========== OTL ==========
C:\Windows\System32\brdgcfgi.dll moved successfully.
C:\Windows\Tasks\Kbkqagemb.job moved successfully.
ADS C:\ProgramData\TEMP:661DFA1C deleted successfully.
ADS C:\ProgramData\TEMP:364682BC deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Robert
->Temp folder emptied: 5768012 bytes
->Temporary Internet Files folder emptied: 33035281 bytes
->Java cache emptied: 13260609 bytes
->FireFox cache emptied: 97291637 bytes
->Apple Safari cache emptied: 106522624 bytes
->Flash cache emptied: 6208 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28326 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 244,00 mb
 
 
OTL by OldTimer - Version 3.2.20.6 log created on 02032011_201747

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus · 03.02.2011, 21:04

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

r0b · 03.02.2011, 22:47

Grad noch so vorm Schlafengehen fertig geworden

Gute Nacht!

Code:

ATTFilter

ComboFix 11-01-31.02 - Robert 03.02.2011  21:51:02.1.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3310.2246 [GMT 1:00]
ausgeführt von:: c:\users\Robert\Desktop\cofi.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-03 bis 2011-02-03  ))))))))))))))))))))))))))))))
.

2011-02-03 21:22 . 2011-02-03 21:22	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-02-03 19:17 . 2011-02-03 19:17	--------	d-----w-	C:\_OTL
2011-02-02 09:23 . 2011-02-02 09:23	--------	d-----w-	c:\program files\iPod
2011-02-01 17:30 . 2011-02-01 17:30	--------	d-----w-	c:\programdata\ATI
2011-01-29 11:46 . 2011-01-13 08:37	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-01-29 11:46 . 2011-01-13 08:41	294608	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-01-29 11:46 . 2011-01-13 08:37	23632	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-01-29 11:46 . 2011-01-13 08:40	47440	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-01-29 11:46 . 2011-01-13 08:37	51280	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2011-01-29 11:46 . 2011-01-13 08:47	38848	----a-w-	c:\windows\avastSS.scr
2011-01-29 11:45 . 2011-01-13 08:47	188216	----a-w-	c:\windows\system32\aswBoot.exe
2011-01-29 11:45 . 2011-01-29 11:45	--------	d-----w-	c:\programdata\Alwil Software
2011-01-29 11:45 . 2011-01-29 11:45	--------	d-----w-	c:\program files\Alwil Software
2011-01-29 11:38 . 2011-01-29 11:44	--------	d-----w-	C:\Download
2011-01-29 10:51 . 2011-01-29 10:51	--------	d-----w-	c:\users\Robert\AppData\Roaming\Malwarebytes
2011-01-29 10:51 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-29 10:51 . 2011-01-30 16:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-01-29 10:51 . 2011-01-29 10:51	--------	d-----w-	c:\programdata\Malwarebytes
2011-01-29 10:51 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-29 08:05 . 2011-01-29 11:52	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2011-01-29 08:05 . 2011-01-29 11:42	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2011-01-27 12:43 . 2011-01-27 12:43	--------	d-----w-	c:\users\Robert\AppData\Local\PDF24
2011-01-27 10:20 . 2011-01-27 10:20	1606368	----a-w-	c:\windows\system32\drivers\athw.sys
2011-01-26 09:52 . 2011-01-26 09:53	--------	d-----w-	c:\program files\ATI Technologies
2011-01-26 09:52 . 2011-01-26 09:52	--------	d-----w-	c:\program files\ATI
2011-01-25 08:38 . 2011-01-13 09:41	5890896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{BF152513-C628-4482-B8D8-E8837CC41F80}\mpengine.dll
2011-01-12 20:58 . 2010-10-16 04:34	573440	----a-w-	c:\windows\system32\odbc32.dll
2011-01-12 20:58 . 2010-10-16 04:33	372736	----a-w-	c:\program files\Common Files\System\ado\msadox.dll
2011-01-12 20:58 . 2010-10-16 04:33	352256	----a-w-	c:\program files\Common Files\System\ado\msadomd.dll
2011-01-12 20:58 . 2010-10-16 04:33	987136	----a-w-	c:\program files\Common Files\System\ado\msado15.dll
2011-01-12 20:58 . 2010-10-16 04:33	208896	----a-w-	c:\program files\Common Files\System\msadc\msadco.dll
2011-01-06 13:03 . 2011-01-06 13:03	--------	d--h--w-	c:\programdata\CanonIJScan
2011-01-06 13:03 . 2011-01-06 13:03	--------	d-----w-	c:\users\Robert\AppData\Roaming\Canon

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2009-08-28 21:42 . 2009-08-28 21:42	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-08-28 21:42 . 2009-08-28 21:42	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Robert\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Robert\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Robert\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC\launcher.exe" [2010-08-13 67960]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
"TosDockApp"="c:\program files\TOSHIBA\dynadock_II\TosDockApp.exe" [2008-10-21 169272]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"CanonSolutionMenuEx"="c:\program files\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2010-03-02 140640]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-12-20 443728]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-01-25 421160]

c:\users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Robert\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-15 136176]
R3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2009-08-18 4994560]
R3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-10-27 229888]
R3 connctfy;Connectify Service;c:\windows\system32\DRIVERS\connctfy.sys [x]
R3 connctfyMP;connctfyMP;c:\windows\system32\DRIVERS\connctfy.sys [x]
R3 DisplayLinkUsbPort;DisplayLink USB Device;c:\windows\system32\DRIVERS\DisplayLinkUsbPort_5.3.24474.0.sys [2010-04-19 21888]
R3 FlashUSB;FlashUSB;c:\windows\system32\DRIVERS\FlashUSB.sys [2009-05-12 16896]
R3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [x]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S0 dlkmdldr;dlkmdldr;c:\windows\system32\drivers\dlkmdldr.sys [2010-04-19 13936]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-11-02 691696]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-01-13 51280]
S2 DisplayLinkService;DisplayLinkManager;c:\program files\DisplayLink Core Software\DisplayLinkManager.exe [2010-04-19 5096808]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-03-28 246520]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2010-12-20 363344]
S2 WCUService_STR;Splashtop Remote Software Updater Service;c:\program files\Splashtop\Splashtop Remote Software Updater\WCUService.exe [2010-12-17 894792]
S3 dlkmd;dlkmd;c:\windows\system32\drivers\dlkmd.sys [2010-04-19 172144]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys [2009-09-29 12160]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys [2009-09-29 10496]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys [2009-09-29 12928]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2010-12-20 20952]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-07-20 267880]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-14 18:43]

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-14 18:43]

2011-02-03 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-09-15 06:25]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
TCP: 64259445A51224F6870264F6E60275C414E40273237303 = 192.168.0.1
FF - ProfilePath - c:\users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\rbcq5f7b.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: DownThemAll!: {DDC359D1-844A-42a7-9AA1-88A850A938A8} - %profile%\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
FF - Ext: RSS Ticker: {1f91cde0-c040-11da-a94d-0800200c9a66} - %profile%\extensions\{1f91cde0-c040-11da-a94d-0800200c9a66}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
Toolbar-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
Toolbar-Locked - (no file)
WebBrowser-{40C3CC16-7269-4B32-9531-17F2950FB06F} - (no file)
AddRemove-{C3ABE126-2BB2-4246-BFE1-6797679B3579} - c:\program files\InstallShield Installation Information\{C3ABE126-2BB2-4246-BFE1-6797679B3579}\setup.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(13016)
c:\users\Robert\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
.
Zeit der Fertigstellung: 2011-02-03  22:44:16
ComboFix-quarantined-files.txt  2011-02-03 21:44

Vor Suchlauf: 15 Verzeichnis(se), 46.128.771.072 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 49.177.456.640 Bytes frei

- - End Of File - - 5EE5EB8675E5788C6511D56F0A788F42

cosinus · 04.02.2011, 13:02

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

r0b · 04.02.2011, 15:03

Alsoooo...

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:56:09 on 04.02.2011

OS: Windows 7  (Build 7600), 32-bit
Default Browser: Microsoft Corporation Internet Explorer 8.00.7600.16385

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"RegistryBooster.job" - "Uniblue Systems Limited" - C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"TosDockCpl.cpl" - "TOSHIBA" - C:\Windows\system32\TosDockCpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a7nmkmsd" (a7nmkmsd) - "Microsoft Corporation" - C:\Windows\system32\drivers\a7nmkmsd.sys  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"amdkmdap" (amdkmdap) - "Advanced Micro Devices, Inc." - C:\Windows\System32\DRIVERS\atikmpag.sys
"aswFsBlk" (aswFsBlk) - "AVAST Software" - C:\Windows\system32\drivers\aswFsBlk.sys
"aswMonFlt" (aswMonFlt) - "AVAST Software" - C:\Windows\system32\drivers\aswMonFlt.sys
"aswRdr" (aswRdr) - "AVAST Software" - C:\Windows\system32\drivers\aswRdr.sys
"aswSP" (aswSP) - "AVAST Software" - C:\Windows\system32\drivers\aswSP.sys
"avast! Network Shield Support" (aswTdi) - "AVAST Software" - C:\Windows\system32\drivers\aswTdi.sys
"catchme" (catchme) - ? - C:\Users\Robert\AppData\Local\Temp\catchme.sys  (File not found)
"connctfyMP" (connctfyMP) - ? - C:\Windows\System32\DRIVERS\connctfy.sys  (File not found)
"Connectify Service" (connctfy) - ? - C:\Windows\System32\DRIVERS\connctfy.sys  (File not found)
"DisplayLink USB Device" (DisplayLinkUsbPort) - "hxxp://libusb-win32.sourceforge.net" - C:\Windows\System32\DRIVERS\DisplayLinkUsbPort_5.3.24474.0.sys
"dlkmd" (dlkmd) - "DisplayLink Corp." - C:\Windows\system32\drivers\dlkmd.sys
"dlkmdldr" (dlkmdldr) - "DisplayLink Corp." - C:\Windows\System32\drivers\dlkmdldr.sys
"kwroqfow" (kwroqfow) - ? - C:\Users\Robert\AppData\Local\Temp\kwroqfow.sys  (Hidden registry entry, rootkit activity | File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbam.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"USB Multi-Channel Audio Device Interface" (USBMULCD) - ? - C:\Windows\System32\drivers\CM106.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)
{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)
{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{0561EC90-CE54-4f0c-9C55-E226110A740C} "{0561EC90-CE54-4f0c-9C55-E226110A740C}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{472083B0-C522-11CF-8763-00608CC02F24} "avast" - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\ashShell.dll
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\Win7codecs\filters\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\Win7codecs\filters\DivXThumbnailProvider.dll
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{327669A0-59A7-4be9-B99E-1C9F3A57611A} "Haali Matroska Thumbnail Exctractor" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONFILTER.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{21347690-EC41-4F9A-8887-1F4AEE672439} "Canon Easy-WebPrint EX" - "CANON INC." - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll
{555D4D79-4BD2-4094-A395-CFC534424A05} "HP Smart Web Printing" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_bho.dll
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Canon Easy-WebPrint EX" - "CANON INC." - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
{DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Smart Web Printing ein- oder ausblenden" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
"ICQ7.2" - "ICQ, LLC." - C:\Program Files\ICQ7.2\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} "Canon Easy-WebPrint EX" - "CANON INC." - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{3785D0AD-BFFF-47F6-BF5B-A587C162FED9} "Canon Easy-WebPrint EX BHO" - "CANON INC." - C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Dropbox.lnk" - ? - C:\Users\Robert\AppData\Roaming\Dropbox\bin\Dropbox.exe  (Shortcut exists | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpeedUpMyPC" - "Uniblue Systems Limited" - "C:\Program Files\Uniblue\SpeedUpMyPC\launcher.exe" delay 20000 
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"AppleSyncNotifier" - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
"avast5" - "AVAST Software" - "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
"CanonSolutionMenuEx" - "CANON INC." - C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE /logon
"HP Software Update" - "Hewlett-Packard" - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
"IJNetworkScanUtility" - "CANON INC." - C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
"TosDockApp" - "TOSHIBA" - C:\Program Files\TOSHIBA\dynadock_II\TosDockApp.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Canon BJ Language Monitor MG5200 series" - "CANON INC." - C:\Windows\system32\CNMLMAE.DLL
"Canon BJNP Port" - "CANON INC." - C:\Windows\system32\CNMNPPM.DLL
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"DisplayLinkManager" (DisplayLinkService) - "DisplayLink Corp." - C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll
"HP Network Devices Support" (HPSLPSVC) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\HPSLPSVC32.DLL
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll
"ICQ Service" (ICQ Service) - ? - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZinw12.dll
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZipm12.dll
"Splashtop Remote Software Updater Service" (WCUService_STR) - "Splashtop Inc." - C:\Program Files\Splashtop\Splashtop Remote Software Updater\WCUService.exe
"Splashtop® Remote Service" (SRService) - "Splashtop Inc." - C:\Program Files\Splashtop\Splashtop Remote\Server\SRService.exe

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBR Check

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Professional
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	TOSHIBA
BIOS Manufacturer:		TOSHIBA
System Manufacturer:		TOSHIBA
System Product Name:		Satellite A210
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 212):
  0x83017000 \SystemRoot\system32\ntkrnlpa.exe
  0x83427000 \SystemRoot\system32\halmacpi.dll
  0x80BA6000 \SystemRoot\system32\kdcom.dll
  0x83616000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x83621000 \SystemRoot\system32\PSHED.dll
  0x83632000 \SystemRoot\system32\BOOTVID.dll
  0x8363A000 \SystemRoot\system32\CLFS.SYS
  0x8367C000 \SystemRoot\system32\CI.dll
  0x83727000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x83798000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x8BE37000 \SystemRoot\System32\Drivers\sppp.sys
  0x8BF2A000 \SystemRoot\System32\Drivers\WMILIB.SYS
  0x8BF33000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
  0x8BF59000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8BFA1000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8BFA9000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x8BFB4000 \SystemRoot\system32\DRIVERS\pci.sys
  0x8BFDE000 \SystemRoot\System32\drivers\partmgr.sys
  0x8BFEF000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x8BE00000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x8BE0B000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x837A6000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8BE1B000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x8BE22000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x8C022000 \SystemRoot\system32\DRIVERS\pcmcia.sys
  0x8C050000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8C066000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x8C06F000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x8C092000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x8C09B000 \SystemRoot\system32\drivers\fltmgr.sys
  0x8C0CF000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8C203000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8C332000 \SystemRoot\System32\Drivers\msrpc.sys
  0x8C35D000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8C370000 \SystemRoot\System32\Drivers\cng.sys
  0x8C3CD000 \SystemRoot\System32\drivers\pcw.sys
  0x8C3DB000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8C0E0000 \SystemRoot\system32\drivers\ndis.sys
  0x8C197000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8C1D5000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8C41C000 \SystemRoot\System32\drivers\tcpip.sys
  0x8C565000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8C596000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x8C59F000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x8C5DE000 \SystemRoot\system32\DRIVERS\TVALZ_O.SYS
  0x8C5E3000 \SystemRoot\System32\Drivers\spldr.sys
  0x8C607000 \SystemRoot\System32\drivers\rdyboost.sys
  0x8C634000 \SystemRoot\System32\Drivers\mup.sys
  0x8C644000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x8C64C000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x8C67E000 \SystemRoot\system32\drivers\dlkmdldr.sys
  0x8C685000 \SystemRoot\system32\DRIVERS\disk.sys
  0x8C696000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x8C6ED000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8C70C000 \SystemRoot\System32\Drivers\Null.SYS
  0x8C713000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8C71A000 \SystemRoot\System32\drivers\vga.sys
  0x8C726000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8C747000 \SystemRoot\System32\drivers\watchdog.sys
  0x8C754000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8C75C000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8C764000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x8C76C000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8C777000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8C785000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8C79C000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8C7A7000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0x91A27000 \SystemRoot\system32\drivers\afd.sys
  0x91A81000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0x91A86000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x91AB8000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x91ABF000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x91ADE000 \SystemRoot\system32\DRIVERS\vwififlt.sys
  0x91AEF000 \SystemRoot\system32\DRIVERS\netbios.sys

Trojaner TR/Crypt.XPACK.Gen3 eingefangen | Sicherheitscenter deaktiviert sich automatisch

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Crypt.XPACK.Gen3 eingefangen | Sicherheitscenter deaktiviert sich automatisch