PC nach Bereinigung mit Malwarebytes nun wieder o.k. ?

Sunnymummy · 03.02.2011, 10:40

Hi zusammen,

Malewarebytes hatte mehreres gefunden, habe es löschen lassen, kann ich den PC nun wieder verwenden ?

cosinus · 03.02.2011, 19:55

Zitat:

PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC)

PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Zone Labs, LLC)

Kann ich nur dringend von abraten. Umgehend deinstallieren und Windows-Firewall aktivieren.

Sunnymummy · 03.02.2011, 19:59

Ja danke, werde ich tun.
Und sonst alles in Ordnung oder bekomme ich noch Anweisungen von Dir/Euch ?

cosinus · 03.02.2011, 20:26

Erstell nach der Deinstallation vonf ZA bitte frische OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Sunnymummy · 03.02.2011, 21:20

O.K. ZoneAlarm ist Geschichte

Gewünschte Logs anbei.

cosinus · 03.02.2011, 21:39

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Sunnymummy · 03.02.2011, 22:44

So, upps, da steht was von "infiziert"

Code:

ATTFilter

Combofix Logfile:

	Code: 

 ATTFilter

  
	ComboFix 11-01-31.02 - Admin 03.02.2011  22:19:51.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1024.620 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\WINSPOOL.DRV
c:\windows\system32\3871747989.dat
c:\windows\system32\scvideo.dll

c:\windows\system32\msgsvc.dll . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\ctfmon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\ctfmon.exe.backup wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-03 bis 2011-02-03  ))))))))))))))))))))))))))))))
.

2011-02-03 09:49 . 2011-02-03 14:09	--------	d-----w-	c:\windows\system32\NtmsData
2011-02-03 09:48 . 2011-02-03 09:48	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Avira
2011-02-02 15:43 . 2011-02-02 15:22	15880	----a-w-	c:\windows\system32\lsdelete.exe
2011-02-02 15:20 . 2011-02-02 15:20	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2011-02-02 15:19 . 2011-02-02 15:20	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}
2011-02-02 09:15 . 2011-02-02 09:15	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\ScanSpyware
2011-02-02 09:15 . 2008-09-07 16:22	8704	----a-w-	c:\windows\system32\ssbtsr.exe
2011-02-02 09:15 . 2011-02-02 09:15	--------	d-----w-	c:\programme\ScanSpyware

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 15:22 . 2010-07-02 10:02	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-01-02 16:56 . 2009-12-28 12:06	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-01-02 16:56 . 2009-12-28 12:06	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2009-12-29 10:59	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2009-12-29 10:59	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-03 09:05 . 2010-07-02 10:02	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-01-19 13:06 . 2009-01-19 13:06	20938728	----a-w-	c:\programme\FLV PlayerRCSetup.exe
2007-02-21 22:03 . 2008-12-07 13:34	66672	----a-w-	c:\programme\mozilla firefox\components\jar50.dll
2007-02-21 22:03 . 2008-12-07 13:34	54376	----a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2007-02-21 22:03 . 2008-12-07 13:34	34952	----a-w-	c:\programme\mozilla firefox\components\myspell.dll
2007-02-21 22:03 . 2008-12-07 13:34	46720	----a-w-	c:\programme\mozilla firefox\components\spellchk.dll
2007-02-21 22:03 . 2008-12-07 13:34	172144	----a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
2006-05-03 10:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchList"="c:\programme\Pinnacle\Studio 11\LaunchList2.exe" [2007-03-21 145496]
"LogitechSoftwareUpdate"="c:\programme\Logitech\Video\ManifestEngine.exe" [2005-01-18 196608]
"RTEGPRS"="c:\programme\Gemeinsame Dateien\SmartCom\RTEGPRS.exe" [2005-10-24 2342912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-07-24 450560]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"NBKeyScan"="c:\programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-03-26 1185328]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"Promise Tech."="c:\programme\Promise\Utility\PAM.exe" [2002-04-15 1019904]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2005-01-18 458752]
"LogitechVideoTray"="c:\programme\Logitech\Video\LogiTray.exe" [2005-01-18 217088]
"VMonitorVMUVC"="c:\programme\Vimicro\VMUVC\VMonitor.exe" [2008-03-26 135168]
"snp2std"="c:\windows\vsnp2std.exe" [2006-12-04 675840]
"AVMFBoxMonitor"="c:\programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2008-06-03 1508656]
"VMware hqtray"="c:\programme\VMware\VMware Player\hqtray.exe" [2008-10-28 64048]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360]

c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\
BookType135.lnk - c:\programme\BookType\BookType135.EXE [2008-12-7 1005056]
HDDlife.lnk - c:\programme\BinarySense\HDDlife\HDDlifePro.exe [2005-8-15 836608]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2009-1-19 450560]
Picture Motion Browser Medien-Prfung.lnk - c:\programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-12-8 368640]
ShutDownAlone.lnk - c:\programme\Cercsystems\ShutDownAlone\ShutDownAlone.exe [2005-10-25 184320]
taskmgr.lnk - c:\windows\system32\taskmgr.exe [2002-12-31 140800]

c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\
BookType135.lnk - c:\programme\BookType\BookType135.EXE [2008-12-7 1005056]
HDDlife.lnk - c:\programme\BinarySense\HDDlife\HDDlifePro.exe [2005-8-15 836608]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2009-1-19 450560]
Picture Motion Browser Medien-Prfung.lnk - c:\programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-12-8 368640]
ShutDownAlone.lnk - c:\programme\Cercsystems\ShutDownAlone\ShutDownAlone.exe [2005-10-25 184320]
taskmgr.lnk - c:\windows\system32\taskmgr.exe [2002-12-31 140800]

c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\
BookType135.lnk - c:\programme\BookType\BookType135.EXE [2008-12-7 1005056]
HDDlife.lnk - c:\programme\BinarySense\HDDlife\HDDlifePro.exe [2005-8-15 836608]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2009-1-19 450560]
Picture Motion Browser Medien-Prfung.lnk - c:\programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-12-8 368640]
ShutDownAlone.lnk - c:\programme\Cercsystems\ShutDownAlone\ShutDownAlone.exe [2005-10-25 184320]
taskmgr.lnk - c:\windows\system32\taskmgr.exe [2002-12-31 140800]

c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\
BookType135.lnk - c:\programme\BookType\BookType135.EXE [2008-12-7 1005056]
HDDlife.lnk - c:\programme\BinarySense\HDDlife\HDDlifePro.exe [2005-8-15 836608]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2009-1-19 450560]
Picture Motion Browser Medien-Prfung.lnk - c:\programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-12-8 368640]
ShutDownAlone.lnk - c:\programme\Cercsystems\ShutDownAlone\ShutDownAlone.exe [2005-10-25 184320]
taskmgr.lnk - c:\windows\system32\taskmgr.exe [2002-12-31 140800]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"c:\\Programme\\FRITZ!Box USB-Fernanschluss\\fritzbox-usb-fernanschluss_2_1_0_16\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 fasttrak;fasttrak;c:\windows\system32\drivers\Fasttrak.sys [25.04.2003 16:20 75520]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [02.07.2010 11:02 64288]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [12.03.2009 12:43 100560]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [12.03.2009 12:43 41744]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.01.2010 17:55 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.12.2010 10:05 1402272]
R2 NSClientpp;NSClientpp (Nagios) 0.3.5.2 2008-09-24 w32;c:\programme\NSClient++\nsclient++.exe [24.09.2008 22:33 409600]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [28.10.2008 23:01 54960]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [24.07.2008 15:22 102400]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [04.02.2009 14:33 101248]
R3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [04.12.2008 20:03 10880]
R3 usb2vcom;USB Data Cable;c:\windows\system32\drivers\usb2vcom.sys [04.02.2009 09:23 28704]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [12.03.2009 12:43 87568]
S2 CryptSvcJavaQuickStarterService;Kryptografiedienste CryptSvcJavaQuickStarterService;c:\windows\system32\ansig.exe srv --> c:\windows\system32\ansig.exe srv [?]
S2 ImapiServiceSchedule;IMAPI-CD-Brenn-COM-Dienste ImapiServiceSchedule;c:\windows\system32\algw.exe srv --> c:\windows\system32\algw.exe srv [?]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [07.11.2006 01:00 14976]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.12.2010 10:05 15264]
S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\drivers\VMUVC.sys [21.01.2009 10:57 250240]
S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [21.01.2009 10:57 476160]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [05.12.2008 16:32 11520]
.
Inhalt des "geplante Tasks" Ordners

2009-12-09 c:\windows\Tasks\20081210_103900_USB_TrekStor_Janine.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-12-09 c:\windows\Tasks\20081210_105300_USB_TrekStor_Administrator.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-11-14 c:\windows\Tasks\20081210_132900_USB_TrekStor_Lesen.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2010-06-25 c:\windows\Tasks\20091113_160900_Vaio_Data4_I_XBox.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-11-14 c:\windows\Tasks\20091114_143800_Vaio_Thunderbird.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-11-14 c:\windows\Tasks\20091114_144500_Vaio_Data_3_H_Sonstiges.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-11-14 c:\windows\Tasks\20091114_144800_Vaio_Data_4_I_XBox.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-12-22 c:\windows\Tasks\20091114_145000_Vaio_Data_5_J_Wii.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-12-22 c:\windows\Tasks\20091114_145200_Video_1_Rohmaterial.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-12-22 c:\windows\Tasks\20091114_145700_Video_2_Bearbeitung.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-11-16 c:\windows\Tasks\20091114_150000_Video_3_Archiv.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2009-11-16 c:\windows\Tasks\20091116_141200_USB_Trekstor_Gemeinsam.job
- c:\programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe [2007-03-26 12:41]

2011-02-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-12-03 15:22]

2010-06-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://notifier.avira.com/stats.php?id_not=49&url=https%3A%2F%2Fwww.cleverbridge.com%2F30%2Fcookie%3Fx%2Dorigin%3Dnotifier%26x%2Dnotifier%3DHACBUS_DE%26expiry%3D28%26redirectto%3Dhttps%253A%252F%252Favira.cleverbridge.com%252F30%252F%253Fscope%253Dcheckout%2526cart%253D13929%2526x%252Dorigin%253Dnotifier%2526x%252Dnotifier%253DHACBUS_DE%2526enablecoupon%253Dfalse
LSP: c:\programme\VMware\VMware Player\vsocklib.dll
TCP: {27AED9D9-5DF0-424C-B548-944C203D004E} = 192.168.178.1
TCP: {EA02997B-EF95-42CF-8BF3-6A105A259601} = 192.168.178.1,0.0.0.0
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\f3ihx47h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-WinImage - d:\programs\WinImage\winimage.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-03 22:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1280)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\programme\Promise\Utility\MsgAgt.exe
c:\programme\Promise\Utility\MsgSvr.exe
c:\windows\System32\snmp.exe
c:\windows\system32\vmnat.exe
c:\windows\system32\vmnetdhcp.exe
c:\programme\VMware\VMware Player\vmware-authd.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\devldr32.exe
c:\programme\Logitech\Video\FxSvr2.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-03  22:33:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-03 21:33

Vor Suchlauf: 17 Verzeichnis(se), 14.076.022.784 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 14.155.812.864 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows Server 2003" /fastdetect

- - End Of File - - 977A1AE93CBA97489E78DD3796D403C3
         
 --- --- ---

cosinus · 04.02.2011, 11:42

Zitat:

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows Server 2003" /fastdetect

???
Was machst du mit einem Windows Server 2003 auf iesem PC??

Sunnymummy · 04.02.2011, 11:52

Schon lange nix mehr, ist Altlast, war mal testweise um auszuprobieren, inwieweit der PC als zentrale Datenplattform (Bilder, Dokumente, ...) im Heimnetzwerk zu gebrauchen ist und dann mal als kurz als Datensicherungs-Server, ist alles schon lange her. Wird nicht mehr gebootet.

Wie geht es jetzt weiter ?

cosinus · 04.02.2011, 15:11

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Sunnymummy · 04.02.2011, 17:31

So hier mal GMER:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-04 17:30:38
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800BB-00HEA0 rev.13.03G13
Running: god17oy0.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\pxdiiuod.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  F7B54D16                                                                                                            ZwCreateKey
SSDT                                                                                                                                  F7B54D0C                                                                                                            ZwCreateThread
SSDT                                                                                                                                  F7B54D1B                                                                                                            ZwDeleteKey
SSDT                                                                                                                                  F7B54D25                                                                                                            ZwDeleteValueKey
SSDT                                                                                                                                  F7B54D2A                                                                                                            ZwLoadKey
SSDT                                                                                                                                  F7B54CF8                                                                                                            ZwOpenProcess
SSDT                                                                                                                                  F7B54CFD                                                                                                            ZwOpenThread
SSDT                                                                                                                                  F7B54D34                                                                                                            ZwReplaceKey
SSDT                                                                                                                                  F7B54D2F                                                                                                            ZwRestoreKey
SSDT                                                                                                                                  F7B54D20                                                                                                            ZwSetValueKey

INT 0x06                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)     B95F716D
INT 0x0E                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)     B95F6FC2

---- Kernel code sections - GMER 1.0.15 ----

.text                                                                                                                                 C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                            section is writeable [0xF6E7D360, 0x24BB1D, 0xE8000020]
.text                                                                                                                                 C:\WINDOWS\system32\drivers\hardlock.sys                                                                            section is writeable [0xB92F9400, 0x7EE2E, 0xE0000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB9396A20]  C:\WINDOWS\system32\drivers\hardlock.sys                                                                            entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB9396A20]
.protectÿÿÿÿhardlockunknown last code section [0xB9396800, 0x4E48, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                                                            unknown last code section [0xB9396800, 0x4E48, 0xE0000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice                                                                                                                        \Driver\Kbdclass \Device\KeyboardClass0                                                                             VMkbd.sys (VMware keyboard filter driver (32-bit)/VMware, Inc.)
AttachedDevice                                                                                                                        \Driver\Kbdclass \Device\KeyboardClass1                                                                             VMkbd.sys (VMware keyboard filter driver (32-bit)/VMware, Inc.)
AttachedDevice                                                                                                                        \Driver\Tcpip \Device\Tcp                                                                                           Lbd.sys (Boot Driver/Lavasoft AB)

Device                                                                                                                                \Driver\usbohci \Device\USBFDO-0                                                                                    hcmon.sys (VMware USB monitor/VMware, Inc.)
Device                                                                                                                                \Driver\usbohci \Device\USBFDO-1                                                                                    hcmon.sys (VMware USB monitor/VMware, Inc.)
Device                                                                                                                                \Driver\usbohci \Device\USBFDO-2                                                                                    hcmon.sys (VMware USB monitor/VMware, Inc.)
Device                                                                                                                                \Driver\usbehci \Device\USBFDO-3                                                                                    hcmon.sys (VMware USB monitor/VMware, Inc.)
Device                                                                                                                                \Driver\usbhub \Device\0000007e                                                                                     hcmon.sys (VMware USB monitor/VMware, Inc.)
Device                                                                                                                                \Driver\usbhub \Device\0000007f                                                                                     hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x6A 0x9C 0xD6 0x61 ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x25 0xDA 0xEC 0x7E ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x6B 0x65 0x49 0x6A ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xCD 0x44 0xCD 0xB9 ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0x50 0x93 0xE5 0xAB ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0x31 0x77 0xE1 0xBA ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x01 0x3A 0x48 0xFC ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0x51 0xFA 0x6E 0x91 ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0xB1 0xCD 0x45 0x5A ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0x2A 0xB7 0xCC 0xB5 ...
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg                                                                                                                                   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.15 ----

Hier nun OSAM:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:44:16 on 04.02.2011

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.2180

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"Ad-Aware Update (Weekly).job" - "Lavasoft                                                              " - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
"20081210_103900_USB_TrekStor_Janine.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20081210_105300_USB_TrekStor_Administrator.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20081210_132900_USB_TrekStor_Lesen.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091113_160900_Vaio_Data4_I_XBox.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091114_143800_Vaio_Thunderbird.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091114_144500_Vaio_Data_3_H_Sonstiges.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091114_144800_Vaio_Data_4_I_XBox.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091114_145000_Vaio_Data_5_J_Wii.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091114_145200_Video_1_Rohmaterial.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091114_145700_Video_2_Bearbeitung.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091114_150000_Video_3_Archiv.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)
"20091116_141200_USB_Trekstor_Gemeinsam.job" - ? - C:\Programme\Nero\Nero 7\Nero BackItUp\BackItUp.exe  (File found, but it contains no detailed information)

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"camcpl.cpl" - "Logitech Inc." - C:\WINDOWS\system32\camcpl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASPI32" (ASPI32) - "Adaptec" - C:\WINDOWS\system32\drivers\ASPI32.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"AVM USB-Fernanschluss" (avmaura) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\avmaura.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"fasttrak" (fasttrak) - "Promise Technology, Inc." - C:\WINDOWS\System32\DRIVERS\fasttrak.sys
"hardlock" (hardlock) - "Aladdin Knowledge Systems" - C:\WINDOWS\system32\drivers\hardlock.sys
"Haspnt" (Haspnt) - "Aladdin Knowledge Systems" - C:\WINDOWS\system32\drivers\Haspnt.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File found, but it contains no detailed information)
"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCASp50 NDIS Protocol Driver" (PCASp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\PCASp50.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Pinnacle Marvin Bus" (MarvinBus) - "Pinnacle Systems GmbH" - C:\WINDOWS\System32\DRIVERS\MarvinBus.sys
"pxdiiuod" (pxdiiuod) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\pxdiiuod.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"Splitcam, WDM Camera Stream Splitter" (SPLITCAM) - "LoteSoft Co." - C:\WINDOWS\System32\DRIVERS\splitcam.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"USB Data Cable" (usb2vcom) - "USB World" - C:\WINDOWS\System32\DRIVERS\usb2vcom.sys
"VBoxNetFlt Service" (VBoxNetFlt) - "Windows (R) Server 2003 DDK provider" - C:\WINDOWS\System32\DRIVERS\VBoxNetFlt.sys
"VirtualBox Service" (VBoxDrv) - ? - C:\WINDOWS\System32\DRIVERS\VBoxDrv.sys  (File found, but it contains no detailed information)
"VirtualBox USB Monitor Driver" (VBoxUSBMon) - "Sun Microsystems, Inc." - C:\WINDOWS\System32\DRIVERS\VBoxUSBMon.sys
"VMware Bridge Protocol" (VMnetBridge) - "VMware, Inc." - C:\WINDOWS\System32\DRIVERS\vmnetbridge.sys
"VMware hcmon" (hcmon) - "VMware, Inc." - C:\WINDOWS\system32\drivers\hcmon.sys
"VMware kbd" (vmkbd) - "VMware, Inc." - C:\WINDOWS\system32\drivers\VMkbd.sys
"VMware Network Application Interface" (VMnetuserif) - "VMware, Inc." - C:\WINDOWS\system32\drivers\vmnetuserif.sys
"VMware vmci" (vmci) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmci.sys
"VMware vmx86" (vmx86) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmx86.sys
"VSO Software pcouffin" (pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\pcouffin.sys
"Vstor2 WS60 Virtual Storage Driver" (vstor2-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vstor2-ws60.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{79BC0345-1015-11D2-A299-006008312725} "///FAST project settings" - ? - C:\Programme\Pinnacle\Studio 12\Programs\BlueShellExt.dll  (File found, but it contains no detailed information)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3} "Eigene Logitech-Bilder" - "Logitech Inc." - C:\Programme\Logitech\Video\Namespc2.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? -   (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{4DF97D4C-9FA0-480a-8DBA-5C5011E90099} "WellPhone Multimedia" - "SmartCom" - C:\Programme\Gemeinsame Dateien\SmartCom\Compnts\scshx.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRar\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "PDFCreator Toolbar" - ? - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} "PDFCreator Toolbar" - ? - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{C451C08A-EC37-45DF-AAAD-18B51AB5E837} "PDFCreator Toolbar Helper" - ? - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"BookType135.lnk" - ? - C:\Programme\BookType\BookType135.EXE  (Shortcut exists | File found, but it contains no detailed information | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\desktop.ini
"HDDlife.lnk" - "BinarySense, Ltd." - C:\Programme\BinarySense\HDDlife\HDDlifePro.exe  (Shortcut exists | File exists)
"Logitech Desktop Messenger.lnk" - "Logitech" - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe  (Shortcut exists | File exists)
"Picture Motion Browser Medien-Prüfung.lnk" - "Sony Corporation" - C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe  (Shortcut exists | File exists)
"ShutDownAlone.lnk" - ? - C:\Programme\Cercsystems\ShutDownAlone\ShutDownAlone.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"LaunchList" - "Pinnacle Systems" - C:\Programme\Pinnacle\Studio 11\LaunchList2.exe
"LogitechSoftwareUpdate" - "Logitech Inc." - C:\Programme\Logitech\Video\ManifestEngine.exe boot
"RTEGPRS" - "SmartCom" - "C:\Programme\Gemeinsame Dateien\SmartCom\RTEGPRS.exe" tray
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"AVMFBoxMonitor" - "AVM Berlin" - "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
"LogitechVideoRepair" - "Logitech Inc." - C:\Programme\Logitech\Video\ISStart.exe 
"LogitechVideoTray" - "Logitech Inc." - C:\Programme\Logitech\Video\LogiTray.exe
"LVCOMSX" - "Logitech Inc." - C:\WINDOWS\system32\LVCOMSX.EXE
"NBKeyScan" - "Nero AG" - "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"Promise Tech." - "Promise Technology, Inc." - C:\Programme\Promise\Utility\PAM.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"VMonitorVMUVC" - "Vimicro Corporation" - "C:\Programme\Vimicro\VMUVC\VMonitor.exe" VMUVC
"VMware hqtray" - "VMware, Inc." - "C:\Programme\VMware\VMware Player\hqtray.exe"
"WD Drive Manager" - "WDC" - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"IMAPI-CD-Brenn-COM-Dienste ImapiServiceSchedule" (ImapiServiceSchedule) - ? - C:\WINDOWS\system32\algw.exe srv  (File not found)
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Kryptografiedienste CryptSvcJavaQuickStarterService" (CryptSvcJavaQuickStarterService) - ? - C:\WINDOWS\system32\ansig.exe srv  (File not found)
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"NSClientpp (Nagios) 0.3.5.2 2008-09-24 w32" (NSClientpp) - ? - C:\Programme\NSClient++\nsclient++.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PCLEPCI" (PCLEPCI) - "Pinnacle Systems GmbH" - C:\WINDOWS\system32\drivers\pclepci.sys
"PLFlash DeviceIoControl Service" (PLFlash DeviceIoControl Service) - "Prolific Technology Inc." - C:\WINDOWS\system32\IoctlSvc.exe
"Promise RAID message agent" (RAIDmAgt) - ? - C:\Programme\Promise\Utility\MsgAgt.exe
"Promise RAID message server" (RAIDmSvr) - ? - C:\Programme\Promise\Utility\MsgSvr.exe
"SiSoftware Database Agent Service" (SandraDataSrv) - "SiSoftware" - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
"SiSoftware Sandra Agent Service" (SandraTheSrv) - "SiSoftware" - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
"VMware Agent Service" (ufad-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vmware-ufad.exe
"VMware Authorization Service" (VMAuthdService) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vmware-authd.exe
"VMware DHCP Service" (VMnetDHCP) - "VMware, Inc." - C:\WINDOWS\system32\vmnetdhcp.exe
"VMware NAT Service" (VMware NAT Service) - "VMware, Inc." - C:\WINDOWS\system32\vmnat.exe
"WD Drive Manager Service" (WDBtnMgrSvc.exe) - "WDC" - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"VMCI sockets DGRAM" - "VMware, Inc." - C:\Programme\VMware\VMware Player\vsocklib.dll
"VMCI sockets STREAM" - "VMware, Inc." - C:\Programme\VMware\VMware Player\vsocklib.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

.und abschließend MBR:

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 2 (build 2600)
Logical Drives Mask:		0x00000c7d

Kernel Drivers (total 150):
  0x804DE000 \WINDOWS\system32\ntoskrnl.exe
  0x806F4000 \WINDOWS\system32\hal.dll
  0xF79AE000 \WINDOWS\system32\KDCOM.DLL
  0xF78BE000 \WINDOWS\system32\BOOTVID.dll
  0xF745E000 ACPI.sys
  0xF79B0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF744D000 pci.sys
  0xF74AE000 isapnp.sys
  0xF74BE000 ohci1394.sys
  0xF74CE000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A76000 pciide.sys
  0xF772E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF74DE000 MountMgr.sys
  0xF742E000 ftdisk.sys
  0xF79B2000 dmload.sys
  0xF7408000 dmio.sys
  0xF7736000 PartMgr.sys
  0xF74EE000 VolSnap.sys
  0xF73F0000 atapi.sys
  0xF74FE000 aic78xx.sys
  0xF73D8000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xF73C5000 fasttrak.sys
  0xF750E000 disk.sys
  0xF751E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF73A6000 fltMgr.sys
  0xF7394000 sr.sys
  0xF752E000 Lbd.sys
  0xF753E000 PxHelp20.sys
  0xF737D000 KSecDD.sys
  0xF736A000 WudfPf.sys
  0xF72DD000 Ntfs.sys
  0xF72B0000 NDIS.sys
  0xF754E000 sisagp.sys
  0xF755E000 sbp2port.sys
  0xF7295000 Mup.sys
  0xF75CE000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF6E7D000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xF6E69000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7786000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF75EE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF778E000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF779E000 \??\C:\WINDOWS\system32\drivers\VMkbd.sys
  0xF77A6000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF75FE000 \SystemRoot\system32\DRIVERS\SonyWBMS.SYS
  0xF760E000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF761E000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF6E46000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF6E13000 \SystemRoot\system32\drivers\yacxgc.sys
  0xF6DEF000 \SystemRoot\system32\drivers\portcls.sys
  0xF763E000 \SystemRoot\system32\drivers\drmk.sys
  0xF77AE000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF6D2C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF77B6000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF6CE6000 \SystemRoot\system32\drivers\emu10k1m.sys
  0xF765E000 \SystemRoot\system32\drivers\sfmanm.sys
  0xF79E6000 \SystemRoot\system32\drivers\ctlfacem.sys
  0xF7AE6000 \SystemRoot\system32\DRIVERS\ctljystk.sys
  0xF7986000 \SystemRoot\system32\DRIVERS\gameenum.sys
  0xF798A000 \SystemRoot\system32\DRIVERS\scsiscan.sys
  0xF77BE000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
  0xF76FE000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF6CCD000 \SystemRoot\system32\DRIVERS\avmaura.sys
  0xF77C6000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF771E000 \SystemRoot\system32\DRIVERS\splitcam.sys
  0xF758E000 \SystemRoot\system32\DRIVERS\STREAM.SYS
  0xF7AEB000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7A26000 \SystemRoot\System32\Drivers\RootMdm.sys
  0xF77D6000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF6DCF000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF799A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6C8E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF6DBF000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF6DAF000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF6C7D000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF6D9F000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF77DE000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF77E6000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF6D6F000 \SystemRoot\System32\Drivers\pcouffin.sys
  0xF6C4C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF6D4F000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF6B98000 \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys
  0xF7A30000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6B64000 \SystemRoot\system32\DRIVERS\update.sys
  0xF725D000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF6B36000 \SystemRoot\system32\DRIVERS\MarvinBus.sys
  0xF7255000 \SystemRoot\system32\DRIVERS\vmnetadapter.sys
  0xF7251000 \SystemRoot\system32\DRIVERS\VMNET.SYS
  0xF767E000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF7816000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xF769E000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7A42000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7A44000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7B35000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7A46000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7826000 \SystemRoot\System32\drivers\vga.sys
  0xF7A48000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7A4A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF782E000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7836000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF6CC9000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF5AB3000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xF5A5B000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xF5A33000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF6CB5000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xF5A12000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF76AE000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF59F0000 \SystemRoot\System32\drivers\afd.sys
  0xF76BE000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF76CE000 \SystemRoot\system32\DRIVERS\VBoxUSBMon.sys
  0xF76DE000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF59B1000 \SystemRoot\system32\DRIVERS\VBoxDrv.sys
  0xF7846000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF5985000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xF5916000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF770E000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF58F0000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7A4E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF786E000 \SystemRoot\system32\DRIVERS\usb2vcom.sys
  0xF6B12000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF75AE000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xF58B0000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7A56000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF787E000 \SystemRoot\System32\watchdog.sys
  0xF5AF2000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7BC4000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xBA573000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xF781E000 \SystemRoot\system32\DRIVERS\vmnetbridge.sys
  0xBA5E0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB9A26000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB9999000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB9ADB000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB95F4000 \??\C:\WINDOWS\system32\drivers\Haspnt.sys
  0xBA4EB000 \??\C:\WINDOWS\system32\drivers\hcmon.sys
  0xB954C000 \??\C:\WINDOWS\system32\Drivers\vmci.sys
  0xB93C4000 \??\C:\WINDOWS\system32\Drivers\vmx86.sys
  0xB9A6F000 \SystemRoot\System32\Drivers\ASPI32.SYS
  0xB92F9000 \??\C:\WINDOWS\system32\drivers\hardlock.sys
  0xB92D6000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xB9283000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF7796000 \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
  0xB926B000 \??\C:\Programme\VMware\VMware Player\vstor2-ws60.sys
  0xF77EE000 \SystemRoot\System32\Drivers\PCASp50.sys
  0xB8D6A000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB8208000 \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\pxdiiuod.sys
  0xB81DE000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 48):
       0 System Idle Process
       4 System
     788 C:\WINDOWS\system32\smss.exe
     868 csrss.exe
     892 C:\WINDOWS\system32\winlogon.exe
     940 C:\WINDOWS\system32\services.exe
     952 C:\WINDOWS\system32\lsass.exe
    1140 C:\WINDOWS\system32\svchost.exe
    1188 svchost.exe
    1612 C:\WINDOWS\system32\svchost.exe
    1656 C:\WINDOWS\system32\svchost.exe
    1836 svchost.exe
    2036 svchost.exe
     448 C:\WINDOWS\system32\spoolsv.exe
     496 C:\Programme\Avira\AntiVir Desktop\sched.exe
     528 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1148 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1416 C:\WINDOWS\explorer.exe
    1584 C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
    1596 C:\WINDOWS\system32\devldr32.exe
    1816 C:\WINDOWS\system32\LVCOMSX.EXE
    1844 C:\Programme\Logitech\Video\LogiTray.exe
    1868 C:\Programme\Vimicro\VMUVC\VMonitor.exe
    1876 C:\WINDOWS\vsnp2std.exe
    1920 C:\Programme\VMware\VMware Player\hqtray.exe
    1936 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
     508 C:\Programme\BinarySense\HDDlife\HDDlifePro.exe
     648 C:\WINDOWS\system32\taskmgr.exe
     740 C:\Programme\Logitech\Video\FxSvr2.exe
    1408 C:\Programme\Java\jre6\bin\jqs.exe
    1716 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1440 C:\Programme\NSClient++\nsclient++.exe
    1508 C:\WINDOWS\system32\nvsvc32.exe
    2092 C:\WINDOWS\system32\IoctlSvc.exe
    2116 C:\Programme\Promise\Utility\MsgAgt.exe
    2424 C:\Programme\Promise\Utility\MsgSvr.exe
    2480 C:\WINDOWS\system32\snmp.exe
    2520 C:\WINDOWS\system32\svchost.exe
    2760 C:\WINDOWS\system32\vmnat.exe
    2848 C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
    3116 C:\WINDOWS\system32\vmnetdhcp.exe
    3132 C:\Programme\VMware\VMware Player\vmware-authd.exe
    2200 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3020 alg.exe
    1292 C:\WINDOWS\system32\wuauclt.exe
    1832 C:\Programme\osam_autorun_manager_5_0_portable\osam.exe
     228 C:\Programme\Mozilla Firefox\firefox.exe
    1800 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000000b`10432000  (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)
\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: WDCWD800BB-00HEA0, Rev: 13.03G13
PhysicalDrive1 Model Number: Promise2+0 Span, Rev: 1.10
PhysicalDrive2 Model Number: Promise2+0 Span, Rev: 1.10

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
    223 GB  \\.\PhysicalDrive1   RE: Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
    223 GB  \\.\PhysicalDrive2   RE: Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

So, bin gespannt was nun noch an Aufgaben kommen ?

cosinus · 04.02.2011, 21:05

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Sunnymummy · 05.02.2011, 00:11

Beide Logs ohne Fehler, oder ?

Heißt das nun, PC ist wieder in Odnung ?

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5679

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

04.02.2011 21:52:52
mbam-log-2011-02-04 (21-52-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 231883
Laufzeit: 39 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 02/04/2011 bei 11:40 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6344
Version der Spur-Datenbank : 4156

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:10:25

Gescannte Speicherelemente  : 552
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 7171
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 64613
Erfasste Datei-Elemente   : 0

Upps, hab' nochmal über die ganzen Beiträge geschaut, was ich noch nicht verstanden habe, ist der Eintrag im OTL-Log "c:\windows\system32\msgsvc.dll . . . ist infiziert!!"
Wurde die Datei bei dem OTL-Durchlauf ersetzt oder was bedeutet das ?

cosinus · 06.02.2011, 19:54

Sollte wieder ok sein.

Zitat:

"c:\windows\system32\msgsvc.dll

Sollte gefixt worden sein, du kannst die Datei aber nochmal bei Virustotal auswerten und hier den Ergebnislink posten.

Rechenr ansonsten wieder ok?

Sunnymummy · 07.02.2011, 11:38

Super, vielen Dank für die Unterstützung !

PC wird wohl somit wieder einsatzfähig sein, keine negativen Auffälligkeiten.
Habe mich ja auch nur an Euch gewendet, da in Malwarebytes was gefunden wurde !

Super Forum, tolle Arbeit !

04.02.2011, 21:05	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	PC nach Bereinigung mit Malwarebytes nun wieder o.k. ? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

PC nach Bereinigung mit Malwarebytes nun wieder o.k. ?

Plagegeister aller Art und deren Bekämpfung: PC nach Bereinigung mit Malwarebytes nun wieder o.k. ?