Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!

Zoood · 27.02.2011, 19:58

Guten Tag,

Erst einmal die Vorgeschichte (bevor ich auf die Idee kam nach Rootkits zu suchen):

Seit dem ich mir vor ein paar Wochen eine neue (zweite) interne IDE Festplatte (älterer PC) gekauft habe, und jetzt statt 70 insgesamt >200 GB installiert habe, habe ich angefangen die ganzen alten Spiele wieder zu installieren, die ich bis jetzt noch nicht durchspielen konnte. Ja, es handelt sich um Originale! Zumeist sind es haufenweise Steam Schnäppchen (

), aber auch Originale von CDs/DVDs. (warum das wichtig ist? siehe unten

)
Seit einigen Tagen trat auf einmal das Problem auf, dass Windows XP (home) manchmal nicht starten konnte. Nach dem P4 Logo erscheint normalerweise der Windows XP Lade-Bildschirm. Ab und zu tauchte stattdessen nur ein blinkendes " _ " auf.
Gestern hatte ich dann auf einmal einen plötzlichen Bluescreen. In der Fehlermeldung war von einer "prosync1.sys" die Rede. Nach einem Neustart verweigerte der Rechner jegliches Laden von XP. Nicht einmal der Abgesicherte Modus war verfügbar.

Von einem Anderen Rechner aus habe ich dann bei Google nach den Symptomen gesucht, und bin auf diesen Thread gestoßen.
Mit "chkdsk /r" habe ich zunächst die Systemplatte C:\ überprüft, und dabei wurde ein Fehler behoben. Nach dem Reboot war allerdings noch immer alles beim Alten. Danach habe ich schließlich "fixmbr" benutzt, und einen Hinweis bekommen, dass der Mbr beschädigt sei, und habe ihn neu schreiben lassen. Nach einem erneuten Reboot startete Windows wieder scheinbar wie gewohnt.

Da ich natürlich wissen wollte, was zur Hölle hier überhaupt los ist, habe ich mal nach der "prosync1.sys" gesucht, und beim googlen einen Hinweis auf Starforce bekommen.

(Dieses hatte ich zwar vor einigen Jahren schon einmal auf dem Computer (damals hatte es sich zusammen mit Codename Panzers: Phase 1 eingeschlichen), allerdings schmiss ich es samt dem Spiel von meinem Rechner, nachdem damals mein CD Brennen nicht mehr funktioniert hat.
Tatsächlich scheint es manchmal bei Starforce den Nebeneffekt zu geben, dass es v.a. Brenner auf Hardware Ebene zerstört. )

Ich war mir sehr sicher seit langer Zeit kein Spiel mit Starforce installiert zu haben, bis ich dann eine Liste von Spielen durchsucht habe, und gleich mehrere gefunden habe. Daraufhin habe ich hier das offizielle Starforce Removal Tool (sfdrvrem.exe) heruntergeladen, angewendet und den Rechner neu gestartet.
Von Starforce war jetzt nirgendwo mehr etwas zu sehen, und ich dachte alles wäre jetzt o.k., bis DUN DUN DUN
ich in die Datenträgerverwaltung der Computerverwaltung geschaut habe, und sah, dass die Systemfestplatte C:\ nicht mehr angezeigt wurde. Ich habe erneut Google befragt und einen Hinweis auf ein Rootkit erhalten, mit folgenden Anweisungen:
hxxp://forums.techguy.org/6624723-post5.html
Ich habe Malwarebytes' Anti-Malware ausgeführt und es wurden 4 Dateien gefunden, bei denen es sich um "Rootkit.TDSS" handeln soll; die Datein wurden anschließend erfolgreich gelöscht.
Anschließend habe ich Combofix ausgeführt, und nachdem ich selbst natürlich nicht durch die Logfiles geblickt habe, bin ich dann auf diese Seite gestoßen (

), und habe schließlich und endlich auch noch HijackThis durchlaufen lassen.
Ich werde jetzt einfach mal die Logs anhängen, und hoffe jemand kann mir weiterhelfen!

edit: nachdem Malwarebytes' Anti-Malware durchgelaufen war, und neugestartet ist, hatte ich wieder Probleme beim starten; laufend gab es einen BSOD, bei dem es u.a. hieß ich solle nach Viren suchen; ich musste erneut den MBR neu schreiben!

cosinus · 27.02.2011, 22:17

Hallo und

Das hast du anscheinend dezent überlesen zu CF => http://www.trojaner-board.de/95176-combofix.html

Zitat:

Nutzt keinesfalls Combofix auf eigene Faust !!

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Zoood · 28.02.2011, 01:49

Hallo noch einmal, und danke für die Unterstützung!

Die Anweisungen zu Combofix habe ich nicht wirklich "überlesen"; ich habe sie einfach nicht gelesen, sondern nur dass gemacht was ich auf der oben genannten Seite gelesen habe :-/. Und das wiederum hat ein anderer User empfohlen :-\... naja... jetzt weiß ich es ja

h:
So; die scans sind mitlerweile auch alle durch; logfiles werde ich anhängen!

cosinus · 28.02.2011, 12:21

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2011.02.08 01:55:24 | 000,000,000 | ---D | C] -- C:\21346bb96f81487d1410
[2011.02.28 01:17:02 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\vtdecuh.sys
:Files
C:\sfdrvrem.exe
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Zoood · 28.02.2011, 12:46

Hier das neue Log;

Eine kurze Frage: Was ist verdächtig an der "sfdrvrem.exe"?
Die hatte ich, wie gesagt, erst kürzlich von der offiziellen Starforce Seite gezogen...

cosinus · 28.02.2011, 13:38

Dann noch CF ausführen, aber bitte genau so:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Zoood · 28.02.2011, 14:29

So, hier das neue logfile.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-27.02 - Zood 28.02.2011  14:03:10.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1336 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Zood\Desktop\cofi.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-28 bis 2011-02-28  ))))))))))))))))))))))))))))))
.

2011-02-28 11:38 . 2011-02-28 11:38	28752	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E45A07BA-5492-466B-8727-F3BECB227531}\MpKsla1d5b722.sys
2011-02-28 11:38 . 2011-02-11 06:54	5943120	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E45A07BA-5492-466B-8727-F3BECB227531}\mpengine.dll
2011-02-28 11:34 . 2011-02-28 11:34	--------	d-----w-	C:\_OTL
2011-02-27 16:18 . 2011-02-27 16:18	--------	d-----w-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\Malwarebytes
2011-02-27 16:18 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-27 16:18 . 2011-02-27 16:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-27 16:18 . 2011-02-27 16:18	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-02-27 16:18 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-26 11:00 . 2011-02-26 11:01	--------	d-----w-	c:\dokumente und einstellungen\Eva\Anwendungsdaten\SPORE
2011-02-25 21:57 . 2011-02-25 21:59	--------	d-----w-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\SPORE
2011-02-24 09:44 . 2011-02-24 09:44	--------	d--h--w-	c:\windows\PIF
2011-02-23 19:33 . 2011-02-23 23:03	--------	d-----w-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\skypePM
2011-02-21 11:50 . 2011-02-21 11:50	--------	d-----w-	c:\dokumente und einstellungen\Eva\Lokale Einstellungen\Anwendungsdaten\oblivion
2011-02-20 18:33 . 2008-04-14 05:52	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2011-02-20 17:57 . 2008-04-14 05:52	221184	----a-w-	c:\windows\system32\wmpns.dll
2011-02-20 17:57 . 2011-02-20 17:57	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-02-17 22:13 . 2011-02-17 22:39	--------	d-----w-	c:\dokumente und einstellungen\Zood\Lokale Einstellungen\Anwendungsdaten\Oblivion
2011-02-16 12:13 . 2011-02-16 12:13	--------	d-----w-	c:\dokumente und einstellungen\Zood\Lokale Einstellungen\Anwendungsdaten\Desura
2011-02-16 12:06 . 2011-02-16 12:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Desura
2011-02-16 12:06 . 2011-02-16 12:06	--------	d-----w-	c:\programme\Desura
2011-02-16 00:16 . 2011-02-16 00:16	--------	d-----w-	C:\documents and settings
2011-02-15 11:16 . 2001-01-31 14:07	124503	------w-	c:\windows\system32\drivers\alcvia.sys
2011-02-13 23:51 . 2006-06-29 12:07	14048	------w-	c:\windows\system32\spmsg2.dll
2011-02-13 14:17 . 2011-02-13 14:17	--------	d-----w-	c:\dokumente und einstellungen\Eva\Anwendungsdaten\foobar2000
2011-02-07 23:54 . 2011-02-07 23:54	--------	d--h--r-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\SecuROM
2011-02-07 19:26 . 2011-02-07 19:26	--------	d-----w-	C:\tempo
2011-02-07 18:14 . 2011-02-07 18:16	--------	d-----w-	c:\programme\SteamWatcher
2011-02-02 22:43 . 2011-02-02 22:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2011-02-02 17:59 . 2011-02-02 17:59	--------	d-----w-	c:\programme\FRITZ!WLAN_USB_Stick_Build100906
2011-02-02 10:53 . 2011-02-02 11:17	--------	d-----w-	c:\dokumente und einstellungen\Zood\Lokale Einstellungen\Anwendungsdaten\The Witcher
2011-02-02 10:35 . 2011-02-02 10:35	--------	d-----w-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\DivX
2011-02-02 10:08 . 2011-02-02 10:08	--------	d-----w-	c:\dokumente und einstellungen\Zood\Lokale Einstellungen\Anwendungsdaten\HotheadGames
2011-01-31 21:32 . 2011-01-31 21:32	278984	----a-w-	c:\windows\system32\drivers\atksgt.sys
2011-01-31 21:32 . 2011-01-31 21:32	25416	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2011-01-30 22:51 . 2007-06-27 13:44	477696	----a-w-	c:\windows\system32\drivers\ZD1211BU.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-15 10:08 . 2010-09-17 10:13	108144	----a-w-	c:\windows\system32\CmdLineExt.dll
2011-02-11 06:54 . 2010-09-11 05:11	5943120	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-01-25 10:33 . 2011-01-25 10:33	81034	----a-w-	c:\windows\Uninstall Jade Empire.exe
2011-01-21 14:44 . 2002-08-29 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-13 09:41 . 2011-01-26 10:24	5890896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-01-07 14:09 . 2002-08-29 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2002-08-29 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2002-08-29 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-21 00:09 . 2010-09-21 12:50	444952	----a-w-	c:\windows\system32\wrap_oal.dll
2010-12-21 00:09 . 2010-09-21 12:50	109080	----a-w-	c:\windows\system32\OpenAL32.dll
2010-12-20 23:52 . 2002-08-29 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2002-08-29 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2002-08-29 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2002-08-29 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2010-09-09 20:44	385024	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2002-08-29 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2002-08-29 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2002-08-29 03:41	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2002-08-29 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2010-12-02 03:35 . 2010-12-02 03:35	4280320	----a-w-	c:\windows\system32\GPhotos.scr
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Zood\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2010-10-05 1496528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 46592]
"Everything"="c:\programme\Everything\Everything.exe" [2009-03-13 602624]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2010-11-30 997408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

c:\dokumente und einstellungen\Zood\Startmen\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Zood\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BDARemote.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BDARemote.lnk
backup=c:\windows\pss\BDARemote.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivX Download Manager]
2010-12-08 21:15	63360	----a-w-	c:\programme\DivX\DivX Plus Web Player\DDMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-12-09 19:28	1226608	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON SX410 Series]
2008-10-01 04:00	199680	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIFCE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Fraps]
2010-03-04 08:03	2353072	----a-w-	c:\programme\Fraps\fraps.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gmote]
2008-10-20 10:20	2021376	----a-w-	c:\programme\Gmote\gmote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2008-08-22 12:13	2363392	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Name of App]
2010-08-04 12:55	692317	----a-w-	c:\programme\SAMSUNG\FW LiveUpdate\FWManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-07-09 13:39	570664	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Spiele\\NWN\\nwmain.exe"=
"c:\\Dokumente und Einstellungen\\Zood\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"s:\\Steam\\Steam.exe"=
"s:\\Steam\\steamapps\\common\\trine\\trine_launcher.exe"=
"s:\\Steam\\steamapps\\common\\company of heroes\\help.htm"=
"s:\\Steam\\steamapps\\common\\company of heroes\\RelicCOH.exe"=
"s:\\Steam\\steamapps\\common\\sid meier's civilization iv\\Civilization4.exe"=
"s:\\Steam\\steamapps\\common\\sid meier's civilization iv warlords\\Warlords\\Civ4Warlords.exe"=
"s:\\Steam\\steamapps\\common\\sid meier's civilization iv warlords\\Warlords\\Civ4Warlords_PitBoss.exe"=
"s:\\Steam\\steamapps\\common\\neverwinter nights 2\\nwn2.exe"=
"s:\\Steam\\steamapps\\common\\darwinia\\darwinia.exe"=
"s:\\Steam\\steamapps\\common\\plain sight\\PlainSight.exe"=
"s:\\Steam\\steamapps\\common\\sid meier's civilization iv beyond the sword\\Beyond the Sword\\Civ4BeyondSword.exe"=
"s:\\Steam\\steamapps\\common\\delve deeper\\DelveDeeper.exe"=
"s:\\Spiele\\FEAR\\FEAR.exe"=
"s:\\Spiele\\FEAR\\FEARMP.exe"=
"s:\\Spiele\\FEAR\\FEARXP\\FEARXP.exe"=
"s:\\Spiele\\FEAR\\Mission Perseus\\FEARXP2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"s:\\Steam\\steamapps\\common\\shadowgrounds\\Shadowgrounds.exe"=
"s:\\Steam\\steamapps\\common\\shadowgrounds\\ShadowgroundsLauncher.exe"=
"s:\\Steam\\steamapps\\common\\osmos\\osmos.exe"=
"s:\\Steam\\steamapps\\common\\titan quest\\Titan Quest.exe"=
"s:\\Steam\\steamapps\\common\\titan quest\\help.htm"=
"s:\\Steam\\steamapps\\common\\titan quest immortal throne\\Tqit.exe"=
"s:\\Steam\\steamapps\\common\\titan quest immortal throne\\help.htm"=
"s:\\Steam\\steamapps\\common\\star wars empire at war\\runme.exe"=
"s:\\Steam\\steamapps\\common\\star wars empire at war\\runme2.exe"=
"s:\\Steam\\steamapps\\common\\company of heroes\\RelicDownloader\\RelicDownloader.exe"=
"s:\\Steam\\steamapps\\common\\on the rain-slick precipice of darkness - episode one\\RainSlickEp1.exe"=
"s:\\Steam\\steamapps\\common\\medieval ii total war\\Launcher.exe"=
"s:\\Steam\\steamapps\\common\\penny arcade adventures on the rain-slick precipice of darkness episode 2\\RainSlickEp2.exe"=
"c:\\Spiele\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Spiele\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Spiele\\Microsoft Games\\Age of Empires III\\age3y.exe"=
"c:\\Spiele\\Microsoft Games\\Age of Empires III\\autopatcher.exe"=
"c:\\Spiele\\Microsoft Games\\Age of Empires III\\autopatcher2.exe"=
"c:\\Spiele\\Microsoft Games\\Age of Empires III\\autopatcherx.exe"=
"c:\\Spiele\\Microsoft Games\\Age of Empires III\\autopatchery.exe"=
"s:\\Steam\\steamapps\\common\\cogs\\cogs.exe"=
"s:\\Steam\\steamapps\\common\\machinarium\\machinarium.exe"=
"s:\\Steam\\steamapps\\common\\eufloria\\Eufloria.exe"=
"s:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"s:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"s:\\Steam\\steamapps\\common\\hitman blood money\\HitmanBloodMoney.exe"=
"s:\\Steam\\steamapps\\common\\hitman blood money\\configure.exe"=
"s:\\Steam\\steamapps\\common\\tomb raider anniversary\\tra.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.09.2010 08:06 691696]
R1 MpKsl97fac5f8;MpKsl97fac5f8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{FD7FE295-B03D-4CA8-8F44-312D6AB9656F}\MpKsl97fac5f8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{FD7FE295-B03D-4CA8-8F44-312D6AB9656F}\MpKsl97fac5f8.sys [?]
R1 MpKsla1d5b722;MpKsla1d5b722;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E45A07BA-5492-466B-8727-F3BECB227531}\MpKsla1d5b722.sys [28.02.2011 12:38 28752]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 13:41 10064]
S1 MpKsl04ede172;MpKsl04ede172;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsl04ede172.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsl04ede172.sys [?]
S1 MpKsl195032e9;MpKsl195032e9;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2480FB3C-38AB-471C-A7F1-632A76F85AA3}\MpKsl195032e9.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2480FB3C-38AB-471C-A7F1-632A76F85AA3}\MpKsl195032e9.sys [?]
S1 MpKsl2af683f4;MpKsl2af683f4;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{04A2E801-2F60-40C0-9D41-B0D0498DC135}\MpKsl2af683f4.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{04A2E801-2F60-40C0-9D41-B0D0498DC135}\MpKsl2af683f4.sys [?]
S1 MpKsl41993e34;MpKsl41993e34;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{80D625CD-D8FE-4460-B235-7FF93C722D0B}\MpKsl41993e34.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{80D625CD-D8FE-4460-B235-7FF93C722D0B}\MpKsl41993e34.sys [?]
S1 MpKsl5b91a69a;MpKsl5b91a69a;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{58FB0580-E0CE-4579-A5AA-E5E90A5BDB43}\MpKsl5b91a69a.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{58FB0580-E0CE-4579-A5AA-E5E90A5BDB43}\MpKsl5b91a69a.sys [?]
S1 MpKsl6325cc8b;MpKsl6325cc8b;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsl6325cc8b.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsl6325cc8b.sys [?]
S1 MpKsl6c378745;MpKsl6c378745;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsl6c378745.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsl6c378745.sys [?]
S1 MpKsl768a0f2f;MpKsl768a0f2f;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{88377DC0-EB32-4B50-83A5-FE873B5CCC8F}\MpKsl768a0f2f.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{88377DC0-EB32-4B50-83A5-FE873B5CCC8F}\MpKsl768a0f2f.sys [?]
S1 MpKsl9695aea8;MpKsl9695aea8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AFC498DD-893B-465F-B4F2-207225C397FF}\MpKsl9695aea8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AFC498DD-893B-465F-B4F2-207225C397FF}\MpKsl9695aea8.sys [?]
S1 MpKsla336c0c9;MpKsla336c0c9;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{88377DC0-EB32-4B50-83A5-FE873B5CCC8F}\MpKsla336c0c9.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{88377DC0-EB32-4B50-83A5-FE873B5CCC8F}\MpKsla336c0c9.sys [?]
S1 MpKslb2b5894a;MpKslb2b5894a;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9AE2140E-3236-4D50-9560-8526D63600A8}\MpKslb2b5894a.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9AE2140E-3236-4D50-9560-8526D63600A8}\MpKslb2b5894a.sys [?]
S1 MpKslc515b0b5;MpKslc515b0b5;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2480FB3C-38AB-471C-A7F1-632A76F85AA3}\MpKslc515b0b5.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2480FB3C-38AB-471C-A7F1-632A76F85AA3}\MpKslc515b0b5.sys [?]
S1 MpKsld20ad4f8;MpKsld20ad4f8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2C32A03A-3F5B-4909-BCCE-0C8259FC07D4}\MpKsld20ad4f8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2C32A03A-3F5B-4909-BCCE-0C8259FC07D4}\MpKsld20ad4f8.sys [?]
S1 MpKsldc186362;MpKsldc186362;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsldc186362.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C24BEE71-09A6-41E1-87AA-4769552F5B9C}\MpKsldc186362.sys [?]
S1 MpKsle00a13ae;MpKsle00a13ae;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{00F341CE-5419-43DB-9F36-7E72D5FE238F}\MpKsle00a13ae.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{00F341CE-5419-43DB-9F36-7E72D5FE238F}\MpKsle00a13ae.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [23.11.2010 21:12 136176]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [26.08.2010 13:43 1051968]
S3 cpuz130;cpuz130;\??\c:\dokume~1\Eva\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\Eva\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?]
S3 Desura Install Service;Desura Install Service;s:\desura\desura_service.exe [16.02.2011 13:09 849728]
S3 FLASHSYS;FLASHSYS;c:\programme\MSI\Live Update 4\LU4\FlashSys.sys [17.09.2010 11:52 9216]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 15:05 14904]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MPKSLA1D5B722

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-08-22 12:11	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2011-02-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2011-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-23 20:12]

2011-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-23 20:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.systemrequirementslab.com/cyri/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-28 14:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-1326574676-1801674531-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:6f,84,a6,0e,a9,0a,35,0e,53,b6,73,06,d7,68,f7,6e,0d,8f,33,16,84,8c,48,
   a9,7c,fb,9a,bd,02,53,8b,12,84,6c,8a,fd,b9,05,a7,b8,ed,ef,d4,5f,b5,a6,92,94,\
"??"=hex:a8,e8,70,2d,69,0f,fb,cf,f8,43,fe,26,10,e1,b4,92

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(596)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2864)
c:\dokumente und einstellungen\Zood\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
c:\programme\FreeLaunchBar\flb.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-02-28  14:10:08
ComboFix-quarantined-files.txt  2011-02-28 13:10
ComboFix2.txt  2011-02-27 17:23

Vor Suchlauf: 2.725.453.824 Bytes frei
Nach Suchlauf: 2.707.570.688 Bytes frei

- - End Of File - - 994172F58B6F49C49CE8F25607B15533

--- --- ---

cosinus · 28.02.2011, 16:58

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Zoood · 01.03.2011, 23:11

So, hier die logs; Gmer lief... und lief und lief

MBRCheck_03.01.11_23.07.26.txt:

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00040094

Kernel Drivers (total 139):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF74E3000 spac.sys
0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF74CB000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF749C000 ACPI.sys
0xF748B000 pci.sys
0xF75F7000 ohci1394.sys
0xF7607000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7617000 isapnp.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7627000 MountMgr.sys
0xF7868000 ftdisk.sys
0xF770F000 PartMgr.sys
0xF7637000 VolSnap.sys
0xF7850000 atapi.sys
0xF7647000 disk.sys
0xF7657000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB87E0000 fltmgr.sys
0xB87CE000 sr.sys
0xB87B7000 KSecDD.sys
0xB872A000 Ntfs.sys
0xB86FD000 NDIS.sys
0xF7717000 SISAGPX.sys
0xB86E3000 Mup.sys
0xF7687000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xB76CB000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xB7315000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB72B2000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF745B000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF744B000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF743B000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB728F000 \SystemRoot\System32\DRIVERS\ks.sys
0xF7747000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xB71EF000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xB71CB000 \SystemRoot\system32\drivers\portcls.sys
0xF742B000 \SystemRoot\system32\drivers\drmk.sys
0xF774F000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xB71A7000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7757000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF775F000 \SystemRoot\System32\DRIVERS\sisnic.sys
0xF77CF000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF741B000 \SystemRoot\System32\DRIVERS\serial.sys
0xB85DB000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB715A000 \SystemRoot\System32\DRIVERS\parport.sys
0xF740B000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF77D7000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xB85D7000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF7A5E000 \SystemRoot\system32\drivers\msmpu401.sys
0xB7069000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xB85C6000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF7887000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xB85D3000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB7052000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB868B000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB867B000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF77DF000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB7041000 \SystemRoot\System32\DRIVERS\psched.sys
0xB866B000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF77E7000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF77EF000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB865B000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF77F7000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF79ED000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB6FE3000 \SystemRoot\System32\DRIVERS\update.sys
0xB7D50000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF77FF000 \SystemRoot\system32\DRIVERS\btport.sys
0xB861B000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB860B000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF79EF000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xAEE82000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0xF77B7000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF79F9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7A84000 \SystemRoot\System32\Drivers\Null.SYS
0xF79FB000 \SystemRoot\System32\Drivers\Beep.SYS
0xF77C7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xAEEF1000 \SystemRoot\System32\drivers\vga.sys
0xF79FD000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79FF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xAEEE9000 \SystemRoot\System32\Drivers\Msfs.SYS
0xAEEE1000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAEFAD000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xAEE4F000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xAEDF6000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xAEDCE000 \SystemRoot\System32\DRIVERS\netbt.sys
0xAEDAC000 \SystemRoot\System32\drivers\afd.sys
0xF76D7000 \SystemRoot\System32\DRIVERS\netbios.sys
0xAED75000 \SystemRoot\System32\drivers\truecrypt.sys
0xAED4A000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xAECDA000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB775B000 \SystemRoot\System32\Drivers\Fips.SYS
0xAECB4000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xB774B000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB773B000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xB7D30000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB770B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7947000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB76FB000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAEC74000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7A01000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB86AF000 \SystemRoot\System32\drivers\Dxapi.sys
0xAEED9000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB8270000 \SystemRoot\System32\drivers\dxgthk.sys
0xAEC22000 \SystemRoot\system32\DRIVERS\atinavt2.sys
0xB86A7000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0xBD012000 \SystemRoot\System32\ati2dvag.dll
0xBD065000 \SystemRoot\System32\ati2cqag.dll
0xBD0FE000 \SystemRoot\System32\atikvmag.dll
0xBD182000 \SystemRoot\System32\atiok3x2.dll
0xBD1CD000 \SystemRoot\System32\ati3duag.dll
0xBD572000 \SystemRoot\System32\ativvaxx.dll
0xBD7FE000 \SystemRoot\System32\ATMFD.DLL
0xAC9DC000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys
0xACBF2000 \SystemRoot\system32\DRIVERS\nwlnknb.sys
0xACB02000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xACAA2000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys
0xF79EB000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAC797000 \SystemRoot\system32\drivers\wdmaud.sys
0xAC94C000 \SystemRoot\system32\drivers\sysaudio.sys
0xAC63E000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xF798F000 \SystemRoot\System32\drivers\enodpl.sys
0xAC42E000 \SystemRoot\System32\DRIVERS\srv.sys
0xF77AF000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xF7999000 \SystemRoot\System32\drivers\tandpl.sys
0xB7CDD000 \??\C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
0xABE25000 \SystemRoot\System32\Drivers\HTTP.sys
0xF780F000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{92903556-8EDE-4559-B442-BAD8D871D500}\MpKsl961d666e.sys
0xABB51000 \??\C:\DOKUME~1\Zood\LOKALE~1\Temp\kxtdapow.sys
0xAC54E000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xF77BF000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xAEEC9000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xABA62000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \Programme\DAEMON Tools Lite\Engine.dll

Processes (total 40):
0 System Idle Process
4 System
460 C:\WINDOWS\system32\smss.exe
548 csrss.exe
596 C:\WINDOWS\system32\winlogon.exe
660 C:\WINDOWS\system32\services.exe
680 C:\WINDOWS\system32\lsass.exe
840 C:\WINDOWS\system32\ati2evxx.exe
860 C:\WINDOWS\system32\svchost.exe
936 svchost.exe
1000 C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
1040 C:\WINDOWS\system32\svchost.exe
1120 C:\WINDOWS\system32\ati2evxx.exe
1204 svchost.exe
1316 svchost.exe
1436 C:\WINDOWS\system32\spoolsv.exe
236 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
484 C:\WINDOWS\explorer.exe
300 C:\Programme\Bonjour\mDNSResponder.exe
1344 C:\Programme\Java\jre6\bin\jqs.exe
1756 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
1824 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
1896 C:\Programme\Microsoft Security Client\msseces.exe
1920 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
404 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
1224 C:\WINDOWS\system32\PnkBstrA.exe
1260 C:\WINDOWS\system32\PnkBstrB.exe
1672 C:\WINDOWS\system32\svchost.exe
788 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
1944 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
2732 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
2940 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVCM.EXE
3268 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
3284 alg.exe
512 C:\WINDOWS\system32\wscntfy.exe
1648 C:\Programme\Opera\opera.exe
3276 C:\Programme\Skype\Phone\Skype.exe
3836 C:\Programme\Skype\Plugin Manager\skypePM.exe
180 S:\Steam\Steam.exe
1616 C:\Dokumente und Einstellungen\Zood\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\S: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST380021A, Rev: 3.75
PhysicalDrive1 Model Number: WDCWD1600AAJB-56R1A0, Rev: 01.03E01

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
149 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 02.03.2011, 10:46

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

02.03.2011, 10:46	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt! Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!

Plagegeister aller Art und deren Bekämpfung: Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!