BDS/Hupigon.cddf in avscan.exe, avcenter.exe, und weitere

Ajoo · 29.03.2011, 00:34

Hi,

mein Antivir hat mir folgende Meldungen gebracht:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\****Lokale Einstellungen\Temp\jar_cache8687948459604272093.tmp'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18\4a2b9f92-52a635ae'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Programme\Avira\AntiVir Desktop\guardgui.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Programme\Avira\AntiVir Desktop\avscan.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Programme\Avira\AntiVir Desktop\avcenter.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

n der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\turbo\g_0046\opr00W8Z.tmp'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Leider waren am Abend zuvor einige Freunde bei mir, so dass ich nicht genau nachvollziehen kann wie die Infektion stattfand, könnte sowohl vom Internet, als auch von 2 Usb.Sticks kommen.

Nachdem ich die Meldungen bekam habe ich die temporären Dateien gelöscht, und den PC heruntergefahren.

Seitdem findet mein Antivir nichts mehr.

XP-Updates sind von Juni 2010. Ich sollte vlt. noch erwähnen, dass ich im moment nur 56k zur Verfügung habe.

Hier noch die Scans.

MfG und schon mal Danke

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 28.03.2011 23:03:45 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\****\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 1534 1534 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 7,28 Gb Free Space | 29,84% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 7,12 Gb Free Space | 29,17% Space Free | Partition Type: NTFS
Drive F: | 100,21 Gb Total Space | 54,79 Gb Free Space | 54,67% Space Free | Partition Type: NTFS
 
Computer Name: **** | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\opera.exe" "%1" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" "%1" (Opera Software)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Qtracker\qtracker.exe" = C:\Programme\Qtracker\qtracker.exe:*:Enabled:Qtracker -- (Ronald E. Mercer)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"F:\Games\Mass Effect\Binaries\MassEffect.exe" = F:\Games\Mass Effect\Binaries\MassEffect.exe:*:Enabled:Mass Effect Game -- (BioWare)
"F:\Games\Mass Effect\MassEffectLauncher.exe" = F:\Games\Mass Effect\MassEffectLauncher.exe:*:Enabled:Mass Effect Launcher -- (BioWare)
"E:\Program Files\Miranda IM\miranda32.exe" = E:\Program Files\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )
"F:\Games\rainbow six\Binaries\R6Vegas2_Game.exe" = F:\Games\rainbow six\Binaries\R6Vegas2_Game.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 -- ()
"F:\Games\rainbow six\Binaries\R6Vegas2_Launcher.exe" = F:\Games\rainbow six\Binaries\R6Vegas2_Launcher.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 Update -- (Ubisoft)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner
"{1B0FBB9A-995D-47cd-87CD-13E68B676E4F}" = Mass Effect
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 24
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}" = Battlefield 1942
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C9E270CC-AE42-4BD8-B9C6-1EB3A8657FF5}" = Just Cause 1.00.0000
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}" = GTA San Andreas
"{D7A6C517-11F2-419F-B5BB-27772B939698}" = NvMixer
"{FD416706-875C-4B0B-A23A-9E740DAE029E}" = Tom Clancy's Rainbow Six Vegas 2
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"EA Installer.-950654576" = EA Installer
"ERUNT_is1" = ERUNT 1.1j
"Foxit Reader" = Foxit Reader
"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 6.2
"FUSSBALL MANAGER 11" = FUSSBALL MANAGER 11
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"MySSID_is1" = EXPERTool 7.17
"NirSoft VideoCacheView" = NirSoft VideoCacheView
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"Opera 11.01.1190" = Opera 11.01
"PokerStars" = PokerStars
"PunkBusterSvc" = PunkBuster Services
"Qtracker" = Qtracker
"WIC" = Windows Imaging Component
"WinRAR archiver" = WinRAR
"WUV20" = Windows Update Agent 2.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.02.2011 19:01:57 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 17.02.2011 19:50:50 | Computer Name = NIX-18C8ED75A4F | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Bei der Zertifikatsverkettung ist ein interner
Fehler aufgetreten. .
 
Error - 19.02.2011 20:12:28 | Computer Name = NIX-18C8ED75A4F | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Bei der Zertifikatsverkettung ist ein interner
Fehler aufgetreten. .
 
Error - 21.02.2011 01:06:31 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 21.02.2011 21:55:51 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 28.02.2011 03:14:18 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung opera.exe, Version 11.1.1190.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 28.02.2011 03:14:18 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung opera.exe, Version 11.1.1190.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 01:17:07 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 16.03.2011 01:41:07 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung opera.exe, Version 11.1.1190.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 22.03.2011 21:37:06 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.2649, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 27.03.2011 20:36:45 | Computer Name = NIX-18C8ED75A4F | Source = VolSnap | ID = 393226
Description = Die Schattenkopie von Volume "E:" hat das Installationszeitlimit überschritten.
 
Error - 28.03.2011 13:47:04 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:
%%183
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrA" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrB" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrA" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrB" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
 
< End of report >

--- --- ---

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 28.03.2011 23:03:45 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\****\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 1534 1534 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 7,28 Gb Free Space | 29,84% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 7,12 Gb Free Space | 29,17% Space Free | Partition Type: NTFS
Drive F: | 100,21 Gb Total Space | 54,79 Gb Free Space | 54,67% Space Free | Partition Type: NTFS
 
Computer Name: NIX-18C8ED75A4F | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.03.28 22:53:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mit_Rechten\Desktop\OTL.exe
PRC - [2011.03.17 02:05:57 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.02.22 17:29:34 | 002,265,416 | ---- | M] (Gainward Co.) -- C:\Programme\EXPERTool\TBPANEL.exe
PRC - [2011.02.14 05:38:11 | 000,943,472 | ---- | M] (Opera Software) -- C:\Programme\Opera\opera.exe
PRC - [2010.11.09 20:09:44 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.11.09 20:09:44 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.10.29 15:49:28 | 000,249,064 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.01.14 23:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2001.08.18 05:54:48 | 000,024,064 | ---- | M] (Creative Technology Ltd.) -- C:\WINDOWS\system32\devldr32.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.03.28 22:53:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe
MOD - [2004.08.04 14:00:00 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2011.03.17 02:05:57 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.09 20:09:44 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.03.17 02:06:06 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.23 16:10:52 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.11.07 02:00:10 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2009.05.11 13:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 11:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)
DRV - [2004.06.03 11:40:46 | 000,079,360 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys -- (nvatabus)
DRV - [2004.05.25 16:58:04 | 000,396,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvapu.sys -- (nvnforce) Service for NVIDIA(R) nForce(TM)
DRV - [2004.05.25 16:58:02 | 000,048,640 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvax.sys -- (nvax) Service for NVIDIA(R) nForce(TM)
DRV - [2004.04.02 16:40:00 | 000,021,760 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys -- (nv_agp)
DRV - [2004.01.29 02:45:50 | 000,093,764 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENET.sys -- (NVENET)
DRV - [2001.08.17 13:19:34 | 000,036,480 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sfmanm.sys -- (sfman) Creative-SoundFont-Verwaltungstreiber (WDM)
DRV - [2001.08.17 13:19:28 | 000,006,912 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctlfacem.sys -- (emu10k1) Creative-Schnittstellen-Verwaltungstreiber (WDM)
DRV - [2001.08.17 13:19:26 | 000,283,904 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emu10k1m.sys -- (emu10k) Creative SB Live! (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\components [2011.03.25 00:43:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\plugins [2011.03.25 00:43:15 | 000,000,000 | ---D | M]
 
[2011.02.13 20:21:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Extensions
[2011.03.28 01:44:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\t3md8nfv.default\extensions
[2011.02.14 01:59:51 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\t3md8nfv.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.02.14 05:51:54 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\t3md8nfv.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.03.23 11:03:13 | 000,000,000 | ---D | M] (Java Console) -- C:\DOKUMENTE UND EINSTELLUNGEN\****\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2010.11.12 04:28:01 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [GAINWARD] C:\Programme\EXPERTool\TBPanel.exe (Gainward Co.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.07 01:49:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (54619756233228288)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.03.28 23:02:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.03.28 23:01:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.03.28 23:01:12 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.03.28 22:34:21 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Dokumente und Einstellungen\****\Desktop\Erunt-setup.exe
[2011.03.28 22:34:21 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe
[2011.03.28 22:34:21 | 000,446,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\TFC.exe
[2011.03.28 19:54:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\backups
[2011.03.28 19:50:39 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\****\Desktop\HiJackThis204.exe
[2011.03.28 02:06:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.03.28 02:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Free M4a to MP3 Converter
[2011.03.28 01:49:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2011.03.27 03:32:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\VA-The_Roots_of_Dubstep-TEMPACD007-CD-2006-bASS
[2011.03.27 03:32:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Texas Funk
[2011.03.27 03:32:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Mobb Deep
[2011.03.27 03:32:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Ricardo Villalobos
[2011.03.27 03:32:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Midwest Funk
[2011.03.27 03:32:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Immortal Technique
[2011.03.27 03:32:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Florida Funk
[2011.03.27 03:31:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Carolina Funk mp3
[2011.03.27 01:17:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Amon Tobin
[2011.03.23 11:03:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2011.03.23 09:03:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EXPERTool
[2011.03.23 09:03:45 | 000,000,000 | ---D | C] -- C:\Programme\EXPERTool
[2011.03.23 08:55:53 | 000,061,440 | ---- | C] (Khronos Group) -- C:\WINDOWS\System32\OpenCL.dll
[2011.03.23 04:56:52 | 000,000,000 | ---D | C] -- C:\Programme\OpenAL
[2011.03.23 04:27:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Eigene Dateien\JustCause
[2011.03.23 04:16:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Eidos
[2011.03.23 03:55:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
[2011.03.23 03:38:19 | 000,000,000 | -HSD | C] -- C:\WINDOWS\ftpcache
[2011.03.15 03:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\GetRightToGo
[2011.03.15 03:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads
 
========== Files - Modified Within 30 Days ==========
 
[2011.03.28 23:01:13 | 000,000,601 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\NTREGOPT.lnk
[2011.03.28 23:01:13 | 000,000,582 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\ERUNT.lnk
[2011.03.28 23:01:00 | 000,000,238 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2011.03.28 22:59:43 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2011.03.28 22:59:28 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.03.28 22:59:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.28 22:54:25 | 000,301,568 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\g2m3e4r.exe
[2011.03.28 22:53:54 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Dokumente und Einstellungen\****\Desktop\Erunt-setup.exe
[2011.03.28 22:53:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe
[2011.03.28 22:53:21 | 000,446,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\TFC.exe
[2011.03.28 22:41:55 | 000,000,148 | ---- | M] () -- C:\Dokumente und Einstellungen\****\defogger_reenable
[2011.03.28 22:40:42 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Defogger.exe
[2011.03.28 22:33:20 | 000,377,280 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Load.exe
[2011.03.28 22:18:00 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.03.28 19:51:33 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\****\Desktop\HiJackThis204.exe
[2011.03.27 15:18:57 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.03.27 15:18:57 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.03.27 15:18:57 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.03.27 15:18:57 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.03.24 22:32:12 | 000,240,656 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.03.24 22:32:12 | 000,240,656 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.03.24 22:32:12 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.03.23 09:03:28 | 000,784,342 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Setup32_EXPERTool_NV_7_17.zip
[2011.03.23 08:56:26 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\nvdrswr.lk
[2011.03.23 05:34:04 | 000,444,952 | ---- | M] (Creative Labs) -- C:\WINDOWS\System32\wrap_oal.dll
[2011.03.23 04:56:38 | 000,590,434 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\oalinst.zip
[2011.03.23 04:30:03 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.19 01:37:17 | 000,842,622 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Speyer_braun_hogenberg.jpeg
[2011.03.17 02:06:06 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.03.16 05:00:45 | 000,000,611 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\FUSSBALL MANAGER 11.lnk
[2011.03.15 03:13:26 | 000,000,641 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Battlefield 1942.lnk
[2011.03.13 13:36:01 | 000,009,241 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Anleitung.html
 
========== Files Created - No Company Name ==========
 
[2011.03.28 23:01:13 | 000,000,601 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\NTREGOPT.lnk
[2011.03.28 23:01:13 | 000,000,582 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\ERUNT.lnk
[2011.03.28 22:41:53 | 000,000,148 | ---- | C] () -- C:\Dokumente und Einstellungen\****\defogger_reenable
[2011.03.28 22:40:41 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Defogger.exe
[2011.03.28 22:34:21 | 000,301,568 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\g2m3e4r.exe
[2011.03.28 22:32:54 | 000,377,280 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Load.exe
[2011.03.23 09:01:45 | 000,784,342 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Setup32_EXPERTool_NV_7_17.zip
[2011.03.23 08:56:28 | 000,240,656 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.03.23 08:56:26 | 000,240,656 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.03.23 08:56:26 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.03.23 08:56:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nvdrswr.lk
[2011.03.23 08:55:53 | 002,293,194 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2011.03.23 08:55:50 | 000,003,739 | ---- | C] () -- C:\WINDOWS\System32\nvinfo.pb
[2011.03.23 04:55:42 | 000,590,434 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\oalinst.zip
[2011.03.19 01:37:17 | 000,842,622 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Speyer_braun_hogenberg.jpeg
[2011.03.13 13:41:20 | 000,009,241 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Anleitung.html
[2011.02.13 20:21:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.01.17 04:25:55 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys
[2011.01.17 04:25:38 | 002,337,865 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe
[2010.11.12 17:25:21 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.10 22:58:40 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2010.11.10 22:58:36 | 000,107,832 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2010.11.10 22:58:28 | 000,066,872 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2010.11.07 20:56:15 | 000,000,532 | ---- | C] () -- C:\WINDOWS\eReg.dat
[2010.11.07 01:51:44 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.11.07 01:46:56 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.11.07 01:46:31 | 000,271,264 | ---- | C] () -- C:\WINDOWS\System32\vbrun100.dll
[2004.08.04 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 14:00:00 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,448,470 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,432,356 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,079,910 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,067,312 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 14:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004.01.01 01:09:38 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004.01.01 01:08:35 | 000,093,480 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== LOP Check ==========
 
[2010.11.07 01:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2011.02.02 05:23:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EA Core
[2011.02.02 05:23:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
[2011.02.02 05:15:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Solidshield
[2011.01.17 04:26:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
[2010.11.07 02:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\DAEMON Tools Lite
[2011.03.23 03:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
[2011.01.16 21:37:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Foxit Software
[2011.03.15 03:09:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\GetRightToGo
[2011.01.07 23:55:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Miranda
[2010.11.07 02:06:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Opera
[2011.03.28 23:01:00 | 000,000,238 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
[2011.03.28 22:59:43 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.11.07 02:49:02 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2010.11.07 02:37:50 | 000,000,000 | -HSD | M] -- C:\Boot
[2010.11.07 21:52:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2010.11.07 02:02:48 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2011.03.28 23:01:12 | 000,000,000 | R--D | M] -- C:\Programme
[2010.11.23 22:07:15 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.02.01 21:59:09 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.03.28 23:02:37 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE >
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
[2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=64322E8399B205B7281FF883737A9B03 -- C:\WINDOWS\explorer.exe
 
< MD5 for: USERINIT.EXE >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-03-10 02:01:31
 
< End of report >

--- --- ---

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-03-28 23:44:35
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\00000064 WDC_WD1600AAJB-00J3A0 rev.01.03E01
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\****~1\LOKALE~1\Temp\kwkoafoc.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT B258959E ZwCreateKey
SSDT B2589594 ZwCreateThread
SSDT B25895A3 ZwDeleteKey
SSDT B25895AD ZwDeleteValueKey
SSDT spgb.sys ZwEnumerateKey [0xF7734DA4]
SSDT spgb.sys ZwEnumerateValueKey [0xF7735132]
SSDT B25895B2 ZwLoadKey
SSDT spgb.sys ZwOpenKey [0xF771C0C0]
SSDT B2589580 ZwOpenProcess
SSDT B2589585 ZwOpenThread
SSDT spgb.sys ZwQueryKey [0xF773520A]
SSDT spgb.sys ZwQueryValueKey [0xF773508A]
SSDT B25895BC ZwReplaceKey
SSDT B25895B7 ZwRestoreKey
SSDT B25895A8 ZwSetValueKey
 
INT 0x62 ? 8676DBF8
INT 0x63 ? 86669BF8
INT 0x73 ? 86669BF8
INT 0x82 ? 8676DBF8
INT 0x83 ? 86669BF8
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text ntoskrnl.exe!_abnormal_termination + 151 804E27BD 3 Bytes [95, 58, B2]
? spgb.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B1C3A80C 5 Bytes JMP 866691D8 
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB11B03A0, 0x5CC259, 0xE8000020]
.text aj7xgsc7.SYS B1163386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text aj7xgsc7.SYS B11633AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aj7xgsc7.SYS B11633C4 3 Bytes [00, 80, 02]
.text aj7xgsc7.SYS B11633C9 1 Byte [30]
.text aj7xgsc7.SYS B11633C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ... 
 
---- Devices - GMER 1.0.15 ----
 
Device \FileSystem\Ntfs \Ntfs 8676C1F8
Device \Driver\usbohci \Device\USBPDO-0 8625A1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{DC2D6E9D-8DD0-44F1-94C9-FBD39E847A8A} 864311F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8676E1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8676E1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8676E1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8676E1F8
Device \Driver\usbohci \Device\USBPDO-1 8625A1F8
Device \Driver\usbehci \Device\USBPDO-2 8624E1F8
Device \Driver\PCI_PNP2452 \Device\00000048 spgb.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 867DB1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867DB1F8
Device \Driver\Cdrom \Device\CdRom0 865DA1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 867DB1F8
Device \Driver\Cdrom \Device\CdRom1 865DA1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 864311F8
Device \Driver\NetBT \Device\NetbiosSmb 864311F8
Device \Driver\sptd \Device\1953357452 spgb.sys
Device \Driver\usbohci \Device\USBFDO-0 8625A1F8
Device \Driver\usbohci \Device\USBFDO-1 8625A1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 865281F8
Device \Driver\usbehci \Device\USBFDO-2 8624E1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 865281F8
Device \Driver\Ftdisk \Device\FtControl 867DB1F8
Device \Driver\aj7xgsc7 \Device\Scsi\aj7xgsc71 865CE1F8
Device \Driver\aj7xgsc7 \Device\Scsi\aj7xgsc71Port1Path0Target0Lun0 865CE1F8
Device \FileSystem\Cdfs \Cdfs 864E2500
 
---- Registry - GMER 1.0.15 ----
 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xFA 0xEB 0xAB 0xE9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xFB 0x1B 0x32 0xA9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7A 0x7E 0xD7 0xD4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) 
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xFA 0xEB 0xAB 0xE9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) 
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xFB 0x1B 0x32 0xA9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7A 0x7E 0xD7 0xD4 ...
 
---- EOF - GMER 1.0.15 ----

--- --- ---

cosinus · 29.03.2011, 19:28

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ajoo · 30.03.2011, 00:40

Hi,

bin grad am downloaden, die Logs kommen in 30 Minuten.

Liege ich richtig wenn ich vermute, dass hier sprichwörtlich der Wurm drin war?

[2011.03.28 02:06:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.03.28 02:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Free M4a to MP3 Converter
[2011.03.28 01:49:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData

MfG

Edit:

Hier das Logfile

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6209

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

30.03.2011 02:07:47
mbam-log-2011-03-30 (02-07-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 177626
Laufzeit: 15 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{7d4a50e0-4f7c-4ddf-986d-35f77f9c88dd}\RP125\A0068394.dll (Trojan.KillDisk) -> No action taken.

cosinus · 30.03.2011, 11:47

Zitat:

Liege ich richtig wenn ich vermute, dass hier sprichwörtlich der Wurm drin war?

[2011.03.28 02:06:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.03.28 02:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Free M4a to MP3 Converter
[2011.03.28 01:49:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData

Nee, das sind Systemordner.
Hast du nur dieses eine Log von Malwarebytes?

Ajoo · 30.03.2011, 15:27

Hi,

das ist leider der einzige Log.

Soll ich nochmal mit allen Festplatten durchlaufen lassen?

Hatte eig. genau den hier in Verdacht:

Free M4a to MP3 Converter

Das kommt auch mit der Uhrzeit ziemlich genau hin, ab wann die ersten Meldungen auftraten.

Aber genau zu der Zeit kam auch grad ein 2. Wecheldatenträger an den PC.

MfG

cosinus · 31.03.2011, 10:33

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2011.03.23 03:55:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
[2011.03.23 03:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.07 01:49:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ajoo · 31.03.2011, 20:21

Hi,

hab alles gemacht, anbei das Log-File.

MfG und Danke, Ajoo

Code:

ATTFilter

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ folder moved successfully.
Folder C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
E:\autoexec.bat moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ****
->Temp folder emptied: 1459674 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 2753950 bytes
->FireFox cache emptied: 58484869 bytes
->Opera cache emptied: 19001393 bytes
->Flash cache emptied: 456 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ****
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33023 bytes
RecycleBin emptied: 47812 bytes
 
Total Files Cleaned = 78,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 03312011_210642

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 01.04.2011, 11:27

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ajoo · 01.04.2011, 18:06

Hi,

hier die neusten Logs.

Code:

ATTFilter

ComboFix 11-03-31.05 - Mit_Rechten 01.04.2011  18:44:30.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.738 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\mshta.exe . . . ist infiziert!!
.
c:\windows\system32\msiexec.exe . . . ist infiziert!!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-01 bis 2011-04-01  ))))))))))))))))))))))))))))))
.
.
2011-04-01 16:27 . 2011-04-01 16:27	--------	d-----w-	c:\programme\CCleaner
2011-03-31 19:06 . 2011-03-31 19:06	--------	d-----w-	C:\_OTL
2011-03-29 23:29 . 2011-03-29 23:29	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-29 23:29 . 2011-03-29 23:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2011-03-30 00:07	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-03-29 23:29 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-28 21:01 . 2011-03-28 21:01	--------	d-----w-	c:\programme\ERUNT
2011-03-28 00:06 . 2011-03-28 00:06	--------	d--h--w-	c:\windows\PIF
2011-03-27 23:49 . 2011-03-28 18:31	--------	d-----w-	c:\windows\system32\NtmsData
2011-03-23 09:03 . 2011-03-23 09:03	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2011-03-23 07:03 . 2007-03-16 09:11	12256	----a-w-	c:\windows\system32\drivers\TBPanel.sys
2011-03-23 07:03 . 2011-03-23 07:03	--------	d-----w-	c:\programme\EXPERTool
2011-03-23 06:56 . 2011-03-24 20:32	240656	----a-w-	c:\windows\system32\nvdrsdb0.bin
2011-03-23 06:56 . 2011-03-24 20:32	240656	----a-w-	c:\windows\system32\nvdrsdb1.bin
2011-03-23 06:56 . 2011-03-24 20:32	1	----a-w-	c:\windows\system32\nvdrssel.bin
2011-03-23 06:55 . 2010-10-22 06:23	61440	----a-w-	c:\windows\system32\OpenCL.dll
2011-03-23 06:55 . 2010-10-22 06:23	14532608	----a-w-	c:\windows\system32\nvoglnt.dll
2011-03-23 06:55 . 2010-10-22 06:23	888424	----a-w-	c:\windows\system32\nvdispco32.dll
2011-03-23 06:55 . 2010-10-22 06:23	813672	----a-w-	c:\windows\system32\nvgenco32.dll
2011-03-23 06:55 . 2010-10-22 06:23	4882432	----a-w-	c:\windows\system32\nvcuda.dll
2011-03-23 06:55 . 2010-10-22 06:23	2932840	----a-w-	c:\windows\system32\nvcuvid.dll
2011-03-23 06:55 . 2010-10-22 06:23	2666600	----a-w-	c:\windows\system32\nvcuvenc.dll
2011-03-23 06:55 . 2010-10-22 06:23	2293194	----a-w-	c:\windows\system32\nvdata.bin
2011-03-23 06:55 . 2010-10-22 06:23	9623680	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2011-03-23 06:55 . 2010-10-22 06:23	6359552	----a-w-	c:\windows\system32\nv4_disp.dll
2011-03-23 06:55 . 2010-10-22 06:23	1462272	----a-w-	c:\windows\system32\nvapi.dll
2011-03-23 06:55 . 2010-10-22 06:23	13012992	----a-w-	c:\windows\system32\nvcompiler.dll
2011-03-23 02:56 . 2011-03-23 02:56	--------	d-----w-	c:\programme\OpenAL
2011-03-23 01:57 . 2005-04-03 22:02	753664	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2011-03-23 01:57 . 2005-04-03 22:02	69714	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2011-03-23 01:57 . 2005-04-03 22:01	274432	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2011-03-23 01:57 . 2005-04-03 22:00	184320	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2011-03-23 01:57 . 2005-04-03 21:59	5632	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-03-23 01:57 . 2011-03-23 01:57	200836	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2011-03-23 01:57 . 2011-03-23 01:57	331908	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2011-03-23 01:38 . 2011-03-23 01:38	--------	d-sh--w-	c:\windows\ftpcache
2011-03-15 01:06 . 2011-03-15 01:09	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\GetRightToGo
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-01 01:19 . 2010-11-10 20:58	139152	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2011-04-01 01:19 . 2010-11-10 20:58	111928	----a-w-	c:\windows\system32\PnkBstrB.exe
2011-03-23 03:34 . 2010-11-06 23:46	444952	----a-w-	c:\windows\system32\wrap_oal.dll
2011-03-23 03:34 . 2010-11-06 23:46	109080	----a-w-	c:\windows\system32\OpenAL32.dll
2011-03-17 00:06 . 2010-11-06 23:58	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-02 20:40 . 2010-11-12 02:28	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 18:19 . 2010-11-12 02:28	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-01-17 02:25 . 2011-01-17 02:25	22328	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2011-01-17 02:25 . 2011-01-17 02:25	2337865	----a-w-	c:\windows\system32\pbsvc.exe
.
.
------- Sigcheck -------
.
[-] 2004-08-04 12:00 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="c:\programme\EXPERTool\TBPanel.exe" [2011-02-22 2265416]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-09 281768]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 12451]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2010-05-04 124928]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Qtracker\\qtracker.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"f:\\Games\\Mass Effect\\Binaries\\MassEffect.exe"=
"f:\\Games\\Mass Effect\\MassEffectLauncher.exe"=
"e:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Game.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Launcher.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.11.2010 02:00 691696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.11.2010 01:58 135336]
S0 exckf;exckf;c:\windows\system32\drivers\bhgsctma.sys --> c:\windows\system32\drivers\bhgsctma.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [18.11.2010 04:13 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-01 18:47
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(860)
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2011-04-01  18:48:23
ComboFix-quarantined-files.txt  2011-04-01 16:48
.
Vor Suchlauf: 6 Verzeichnis(se), 11.433.697.280 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 11.527.475.200 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT
.
- - End Of File - - 20FED5FF571738DF89E0FC44FA1C7ED5

Bin bereit für weitere Anweisungen :-)

cosinus · 01.04.2011, 19:28

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

http://www.trojaner-board.de/96939-bds-hupigon-cddf-avscan-exe-avcenter-exe-und-weitere.html

Driver::
exckf

Filelook::
c:\windows\system32\mshta.exe
c:\windows\system32\msiexec.exe

Collect::
c:\windows\system32\drivers\bhgsctma.sys

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ajoo · 01.04.2011, 21:03

Code:

ATTFilter

ComboFix 11-04-01.01 - 	**** 01.04.2011  21:31:43.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.684 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\****\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\mshta.exe . . . ist infiziert!!
.
c:\windows\system32\msiexec.exe . . . ist infiziert!!
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_exckf
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-01 bis 2011-04-01  ))))))))))))))))))))))))))))))
.
.
2011-04-01 19:27 . 2011-04-01 19:27	--------	d-----w-	c:\windows\system32\xircom
2011-04-01 19:27 . 2011-04-01 19:27	--------	d-----w-	c:\windows\system32\wbem\snmp
2011-04-01 19:27 . 2011-04-01 19:27	--------	d-----w-	c:\programme\microsoft frontpage
2011-04-01 16:34 . 2011-04-01 16:48	--------	d-----w-	C:\cofi.exe
2011-04-01 16:27 . 2011-04-01 16:27	--------	d-----w-	c:\programme\CCleaner
2011-03-31 19:06 . 2011-03-31 19:06	--------	d-----w-	C:\_OTL
2011-03-29 23:29 . 2011-03-29 23:29	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-29 23:29 . 2011-03-29 23:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2011-03-30 00:07	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-03-29 23:29 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-28 21:01 . 2011-03-28 21:01	--------	d-----w-	c:\programme\ERUNT
2011-03-28 00:06 . 2011-03-28 00:06	--------	d--h--w-	c:\windows\PIF
2011-03-27 23:49 . 2011-03-28 18:31	--------	d-----w-	c:\windows\system32\NtmsData
2011-03-23 09:03 . 2011-03-23 09:03	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2011-03-23 07:03 . 2007-03-16 09:11	12256	----a-w-	c:\windows\system32\drivers\TBPanel.sys
2011-03-23 07:03 . 2011-03-23 07:03	--------	d-----w-	c:\programme\EXPERTool
2011-03-23 06:56 . 2011-03-24 20:32	240656	----a-w-	c:\windows\system32\nvdrsdb0.bin
2011-03-23 06:56 . 2011-03-24 20:32	240656	----a-w-	c:\windows\system32\nvdrsdb1.bin
2011-03-23 06:56 . 2011-03-24 20:32	1	----a-w-	c:\windows\system32\nvdrssel.bin
2011-03-23 06:55 . 2010-10-22 06:23	61440	----a-w-	c:\windows\system32\OpenCL.dll
2011-03-23 06:55 . 2010-10-22 06:23	14532608	----a-w-	c:\windows\system32\nvoglnt.dll
2011-03-23 06:55 . 2010-10-22 06:23	888424	----a-w-	c:\windows\system32\nvdispco32.dll
2011-03-23 06:55 . 2010-10-22 06:23	813672	----a-w-	c:\windows\system32\nvgenco32.dll
2011-03-23 06:55 . 2010-10-22 06:23	4882432	----a-w-	c:\windows\system32\nvcuda.dll
2011-03-23 06:55 . 2010-10-22 06:23	2932840	----a-w-	c:\windows\system32\nvcuvid.dll
2011-03-23 06:55 . 2010-10-22 06:23	2666600	----a-w-	c:\windows\system32\nvcuvenc.dll
2011-03-23 06:55 . 2010-10-22 06:23	2293194	----a-w-	c:\windows\system32\nvdata.bin
2011-03-23 06:55 . 2010-10-22 06:23	9623680	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2011-03-23 06:55 . 2010-10-22 06:23	6359552	----a-w-	c:\windows\system32\nv4_disp.dll
2011-03-23 06:55 . 2010-10-22 06:23	1462272	----a-w-	c:\windows\system32\nvapi.dll
2011-03-23 06:55 . 2010-10-22 06:23	13012992	----a-w-	c:\windows\system32\nvcompiler.dll
2011-03-23 02:56 . 2011-03-23 02:56	--------	d-----w-	c:\programme\OpenAL
2011-03-23 01:57 . 2005-04-03 22:02	753664	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2011-03-23 01:57 . 2005-04-03 22:02	69714	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2011-03-23 01:57 . 2005-04-03 22:01	274432	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2011-03-23 01:57 . 2005-04-03 22:00	184320	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2011-03-23 01:57 . 2005-04-03 21:59	5632	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-03-23 01:57 . 2011-03-23 01:57	200836	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2011-03-23 01:57 . 2011-03-23 01:57	331908	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2011-03-23 01:38 . 2011-03-23 01:38	--------	d-sh--w-	c:\windows\ftpcache
2011-03-15 01:06 . 2011-03-15 01:09	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\GetRightToGo
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-01 17:18 . 2010-11-10 20:58	139152	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2011-04-01 17:18 . 2010-11-10 20:58	111928	----a-w-	c:\windows\system32\PnkBstrB.exe
2011-03-23 03:34 . 2010-11-06 23:46	444952	----a-w-	c:\windows\system32\wrap_oal.dll
2011-03-23 03:34 . 2010-11-06 23:46	109080	----a-w-	c:\windows\system32\OpenAL32.dll
2011-03-17 00:06 . 2010-11-06 23:58	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-02 20:40 . 2010-11-12 02:28	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 18:19 . 2010-11-12 02:28	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-01-17 02:25 . 2011-01-17 02:25	22328	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2011-01-17 02:25 . 2011-01-17 02:25	2337865	----a-w-	c:\windows\system32\pbsvc.exe
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\mshta.exe ---
Company: Microsoft Corporation
File Description: Microsoft (R) HTML Application host
File Version: 7.00.5730.11 (winmain(wmbla).061017-1135)
Product Name: Windows® Internet Explorer
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: MSHTA.EXE
File size: 45568
Created time: 2004-08-04 12:00
Modified time: 2004-08-04 12:00
MD5: 08A8931DB4D9302F9804C4DFA14596D1
SHA1: EDA18F3D7CEFAB389203277881E8EDBF258B2F64
.
.
--- c:\windows\system32\msiexec.exe ---
Company: Microsoft Corporation
File Description: Windows® installer
File Version: 3.1.4000.1823
Product Name: Windows Installer - Unicode
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: msiexec.exe
File size: 78848
Created time: 2004-08-04 12:00
Modified time: 2004-08-04 12:00
MD5: F5F0146580E7023ADB963879840777F8
SHA1: 4030C8BBCB8F146A1D8BA0FF2357BE6575E48199
.
.
------- Sigcheck -------
.
[-] 2004-08-04 12:00 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((   SnapShot@2011-04-01_16.47.27   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-01 19:36 . 2011-04-01 19:36	16384              c:\windows\Temp\Perflib_Perfdata_18c.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="c:\programme\EXPERTool\TBPanel.exe" [2011-02-22 2265416]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-09 281768]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 12451]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2010-05-04 124928]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Qtracker\\qtracker.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"f:\\Games\\Mass Effect\\Binaries\\MassEffect.exe"=
"f:\\Games\\Mass Effect\\MassEffectLauncher.exe"=
"e:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Game.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Launcher.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.11.2010 02:00 691696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.11.2010 01:58 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [18.11.2010 04:13 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-01 21:36
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1940)
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\devldr32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-01  21:38:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-01 19:38
ComboFix2.txt  2011-04-01 16:48
.
Vor Suchlauf: 8 Verzeichnis(se), 11.514.916.864 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 11.462.066.176 Bytes frei
.
- - End Of File - - E23B5DAAB1BD1B51E802F9DEE5D90F90

cosinus · 02.04.2011, 13:36

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Ajoo · 02.04.2011, 15:34

So, hier der nächste Log.

Code:

ATTFilter

2011/04/02 16:25:39.0515 1868	TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/02 16:25:39.0781 1868	================================================================================
2011/04/02 16:25:39.0781 1868	SystemInfo:
2011/04/02 16:25:39.0781 1868	
2011/04/02 16:25:39.0781 1868	OS Version: 5.1.2600 ServicePack: 3.0
2011/04/02 16:25:39.0781 1868	Product type: Workstation
2011/04/02 16:25:39.0781 1868	ComputerName: NIX-18C8ED75A4F
2011/04/02 16:25:39.0781 1868	UserName: ****
2011/04/02 16:25:39.0781 1868	Windows directory: C:\WINDOWS
2011/04/02 16:25:39.0781 1868	System windows directory: C:\WINDOWS
2011/04/02 16:25:39.0781 1868	Processor architecture: Intel x86
2011/04/02 16:25:39.0781 1868	Number of processors: 1
2011/04/02 16:25:39.0781 1868	Page size: 0x1000
2011/04/02 16:25:39.0781 1868	Boot type: Normal boot
2011/04/02 16:25:39.0781 1868	================================================================================
2011/04/02 16:25:40.0000 1868	Initialize success
2011/04/02 16:25:44.0546 1752	================================================================================
2011/04/02 16:25:44.0546 1752	Scan started
2011/04/02 16:25:44.0546 1752	Mode: Manual; 
2011/04/02 16:25:44.0546 1752	================================================================================
2011/04/02 16:25:45.0484 1752	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/02 16:25:45.0765 1752	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/02 16:25:46.0281 1752	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/02 16:25:46.0578 1752	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/02 16:25:47.0906 1752	AmdK7           (3a0dafac778236559c14c7203fb550eb) C:\WINDOWS\system32\DRIVERS\amdk7.sys
2011/04/02 16:25:49.0296 1752	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/02 16:25:49.0593 1752	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/02 16:25:50.0156 1752	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/02 16:25:50.0468 1752	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/02 16:25:50.0531 1752	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/04/02 16:25:50.0796 1752	avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/04/02 16:25:51.0093 1752	avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/04/02 16:25:51.0375 1752	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/02 16:25:51.0671 1752	Cardex          (04e1c782cf14b7282ebc633b0fd3ed16) C:\WINDOWS\system32\drivers\TBPANEL.SYS
2011/04/02 16:25:51.0984 1752	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/02 16:25:52.0515 1752	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/02 16:25:52.0796 1752	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/02 16:25:53.0093 1752	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/02 16:25:54.0687 1752	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/02 16:25:54.0984 1752	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/02 16:25:55.0265 1752	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/02 16:25:55.0562 1752	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/02 16:25:55.0828 1752	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/02 16:25:56.0406 1752	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/02 16:25:56.0687 1752	emu10k          (01f83e1b5dce05f5cb7d99113ca9e890) C:\WINDOWS\system32\drivers\emu10k1m.sys
2011/04/02 16:25:56.0968 1752	emu10k1         (7ffa171cce6a8bfc774862a578ba39a2) C:\WINDOWS\system32\drivers\ctlfacem.sys
2011/04/02 16:25:57.0281 1752	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/02 16:25:57.0546 1752	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/04/02 16:25:57.0843 1752	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/02 16:25:58.0125 1752	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/04/02 16:25:58.0421 1752	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/04/02 16:25:58.0703 1752	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/02 16:25:58.0984 1752	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/02 16:25:59.0265 1752	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/02 16:25:59.0828 1752	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/02 16:26:00.0609 1752	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/02 16:26:00.0906 1752	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/02 16:26:01.0703 1752	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/04/02 16:26:01.0984 1752	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/02 16:26:02.0250 1752	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/02 16:26:02.0546 1752	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/02 16:26:02.0828 1752	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/02 16:26:03.0109 1752	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/02 16:26:03.0390 1752	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/02 16:26:03.0687 1752	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/02 16:26:03.0953 1752	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/02 16:26:04.0234 1752	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/02 16:26:04.0812 1752	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/02 16:26:05.0093 1752	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/02 16:26:05.0390 1752	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/02 16:26:05.0671 1752	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/02 16:26:06.0203 1752	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/02 16:26:06.0500 1752	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/02 16:26:06.0796 1752	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/02 16:26:07.0078 1752	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/02 16:26:07.0359 1752	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/02 16:26:07.0640 1752	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/02 16:26:07.0921 1752	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/02 16:26:08.0218 1752	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/02 16:26:08.0500 1752	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/02 16:26:08.0765 1752	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/04/02 16:26:09.0031 1752	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/04/02 16:26:09.0312 1752	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/04/02 16:26:09.0609 1752	NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/02 16:26:09.0875 1752	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/04/02 16:26:10.0171 1752	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/04/02 16:26:10.0484 1752	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/02 16:26:10.0781 1752	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/02 16:26:11.0078 1752	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/02 16:26:11.0562 1752	nv              (b9b1bb146eb9a83dcf0f5635b09d3d43) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/04/02 16:26:11.0890 1752	nvatabus        (46deed4c6c5fa765f9a2c723be60348d) C:\WINDOWS\system32\DRIVERS\nvatabus.sys
2011/04/02 16:26:12.0171 1752	nvax            (47b3852808dd579a463fce7085b77413) C:\WINDOWS\system32\drivers\nvax.sys
2011/04/02 16:26:12.0468 1752	NVENET          (1cf77b30dee5c75dea1eee697281802c) C:\WINDOWS\system32\DRIVERS\NVENET.sys
2011/04/02 16:26:12.0734 1752	nvnforce        (adbcba116496229a163193bbe0bb28ce) C:\WINDOWS\system32\drivers\nvapu.sys
2011/04/02 16:26:13.0015 1752	nv_agp          (3194e2f6c9000c39dcf9d0580754f714) C:\WINDOWS\system32\DRIVERS\nv_agp.sys
2011/04/02 16:26:13.0296 1752	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/04/02 16:26:13.0562 1752	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/04/02 16:26:13.0843 1752	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/04/02 16:26:14.0125 1752	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/02 16:26:14.0406 1752	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/02 16:26:14.0687 1752	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/02 16:26:15.0234 1752	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/04/02 16:26:15.0500 1752	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/04/02 16:26:17.0328 1752	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/04/02 16:26:17.0609 1752	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/02 16:26:17.0906 1752	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/02 16:26:19.0437 1752	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/04/02 16:26:19.0718 1752	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/04/02 16:26:20.0000 1752	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/04/02 16:26:20.0281 1752	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/04/02 16:26:20.0562 1752	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/04/02 16:26:20.0843 1752	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/02 16:26:21.0140 1752	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/04/02 16:26:21.0437 1752	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/02 16:26:21.0718 1752	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/04/02 16:26:22.0046 1752	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/02 16:26:22.0328 1752	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/04/02 16:26:22.0609 1752	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/04/02 16:26:22.0906 1752	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/04/02 16:26:23.0187 1752	sfman           (0b1a5e9cacb5cdd54a2815107bd7c772) C:\WINDOWS\system32\drivers\sfmanm.sys
2011/04/02 16:26:23.0968 1752	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/02 16:26:24.0281 1752	sptd            (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys
2011/04/02 16:26:24.0281 1752	Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb48759673505
2011/04/02 16:26:24.0281 1752	sptd - detected Locked file (1)
2011/04/02 16:26:24.0546 1752	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/02 16:26:24.0859 1752	Srv             (89220b427890aa1dffd1a02648ae51c3) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/02 16:26:25.0140 1752	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/04/02 16:26:25.0406 1752	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/02 16:26:25.0687 1752	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/02 16:26:26.0984 1752	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/02 16:26:27.0281 1752	TBPanel         (04e1c782cf14b7282ebc633b0fd3ed16) C:\WINDOWS\system32\drivers\TBPanel.sys
2011/04/02 16:26:27.0578 1752	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/04/02 16:26:27.0859 1752	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/02 16:26:28.0140 1752	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/02 16:26:28.0437 1752	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/04/02 16:26:28.0984 1752	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/02 16:26:29.0531 1752	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/02 16:26:29.0828 1752	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/04/02 16:26:30.0093 1752	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/02 16:26:30.0390 1752	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/04/02 16:26:30.0671 1752	usbstor         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/02 16:26:30.0953 1752	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/02 16:26:31.0484 1752	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/02 16:26:31.0796 1752	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/02 16:26:32.0343 1752	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/02 16:26:32.0687 1752	WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/04/02 16:26:32.0984 1752	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/04/02 16:26:33.0296 1752	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/04/02 16:26:33.0375 1752	================================================================================
2011/04/02 16:26:33.0375 1752	Scan finished
2011/04/02 16:26:33.0375 1752	================================================================================
2011/04/02 16:26:33.0390 1712	Detected object count: 1
2011/04/02 16:29:35.0703 1712	HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
2011/04/02 16:29:35.0703 1712	HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted after reboot
2011/04/02 16:29:35.0703 1712	HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted after reboot
2011/04/02 16:29:35.0703 1712	C:\WINDOWS\system32\Drivers\sptd.sys - will be deleted after reboot
2011/04/02 16:29:35.0703 1712	Locked file(sptd) - User select action: Delete 
2011/04/02 16:29:44.0031 1884	Deinitialize success

MfG und schönes Wochenende

cosinus · 03.04.2011, 13:29

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ajoo · 03.04.2011, 16:39

Hi,

nach dem 4. erfolgslosen Versuch nochmal GMER zu starten hab ichs aufgegeben.

Hier die beiden anderen Logs.

Wie du siehst habe ich mir ein paar Updates herunter geladen, dauert leider etwas länger ;-)

MfG

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:31:05 on 03.04.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Opera Software Opera Internet Browser 11.01

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Cardex" (Cardex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPANEL.SYS
"catchme" (catchme) - ? - C:\cofi.exe13467c\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"Windows Driver Foundation - User-mode Driver Framework Platform Driver" (WudfPf) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\WudfPf.sys
"Windows Driver Foundation - User-mode Driver Framework Reflector" (WudfRd) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wudfrd.sys
"WpdUsb" (WpdUsb) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wpdusb.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{94586423-855F-4EB2-9F6A-D9DA5658DBE3} "Context menu" - ? - C:\PROGRA~1\FREEM4~1\m4a_menu.dll  (File not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\msonsext.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )-----
{AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshserviceobj.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"PokerStars" - "PokerStars" - C:\Programme\PokerStars\PokerStarsUpdate.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"GAINWARD" - "Gainward Co." - C:\Programme\EXPERTool\TBPanel.exe /A
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NVMixerTray" - "NVIDIA Corporation" - "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatische Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Driver Foundation - User-mode Driver Framework" (WudfSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\WUDFSvc.dll
"Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 113):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
  0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
  0xF77DF000 ACPI.sys
  0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF77CE000 pci.sys
  0xF782F000 isapnp.sys
  0xF7DF7000 pciide.sys
  0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF783F000 MountMgr.sys
  0xF77AF000 ftdisk.sys
  0xF7D33000 dmload.sys
  0xF7789000 dmio.sys
  0xF7AB7000 PartMgr.sys
  0xF784F000 VolSnap.sys
  0xF7771000 atapi.sys
  0xF775D000 nvatabus.sys
  0xF785F000 disk.sys
  0xF786F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF773D000 fltmgr.sys
  0xF772B000 sr.sys
  0xF7714000 KSecDD.sys
  0xF7701000 WudfPf.sys
  0xF7674000 Ntfs.sys
  0xF7647000 NDIS.sys
  0xF7ABF000 nv_agp.sys
  0xF762D000 Mup.sys
  0xF79BF000 \SystemRoot\system32\DRIVERS\amdk7.sys
  0xF7AE7000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF6624000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7AEF000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF660D000 \SystemRoot\system32\DRIVERS\NVENET.sys
  0xF65C7000 \SystemRoot\system32\drivers\emu10k1m.sys
  0xF65A3000 \SystemRoot\system32\drivers\portcls.sys
  0xF79CF000 \SystemRoot\system32\drivers\drmk.sys
  0xF6580000 \SystemRoot\system32\drivers\ks.sys
  0xF79DF000 \SystemRoot\system32\drivers\sfmanm.sys
  0xF7D59000 \SystemRoot\system32\drivers\ctlfacem.sys
  0xF79EF000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF79FF000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF5C52000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xF5C3E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7AF7000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF7A0F000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7CFF000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF5C2A000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF7A1F000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7AFF000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7B07000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7F66000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7A2F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7D03000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF5C13000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF7A3F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF7A4F000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7B0F000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF5C02000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF7A5F000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7B17000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7B1F000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF5BD2000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF7A6F000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7D5B000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF5B74000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7D1B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF4B8A000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF4B7A000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7D89000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7DB9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7E89000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7DBB000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF1D05000 \SystemRoot\System32\drivers\vga.sys
  0xF7DBD000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7DBF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF1CFD000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF1CF5000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF4C26000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB76CD000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB7674000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB764C000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB762A000 \SystemRoot\System32\drivers\afd.sys
  0xF18CB000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF1CED000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB75FF000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB758F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF18AB000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB7569000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB7543000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7D95000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF29BA000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB3B86000 \SystemRoot\System32\Drivers\dump_nvatabus.sys
  0xF7DA5000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB459A000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF1D2D000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7F29000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xF0E32000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBD623000 \SystemRoot\System32\ATMFD.DLL
  0xB319E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB4038000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB30F9000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB3BEB000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB3BE9000 \SystemRoot\System32\Drivers\TBPanel.SYS
  0xB3001000 \SystemRoot\system32\DRIVERS\srv.sys
  0xEE11D000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xB2E34000 \SystemRoot\system32\drivers\wdmaud.sys
  0xEE0FD000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB2B6D000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB2912000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 32):
       0 System Idle Process
       4 System
     408 C:\WINDOWS\system32\smss.exe
     456 csrss.exe
     480 C:\WINDOWS\system32\winlogon.exe
     700 C:\WINDOWS\system32\services.exe
     712 C:\WINDOWS\system32\lsass.exe
     876 C:\WINDOWS\system32\nvsvc32.exe
     900 C:\WINDOWS\system32\svchost.exe
    1012 svchost.exe
    1052 C:\WINDOWS\system32\svchost.exe
    1124 C:\WINDOWS\system32\svchost.exe
    1192 svchost.exe
    1240 svchost.exe
    1324 C:\WINDOWS\system32\spoolsv.exe
    1372 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1412 svchost.exe
    1476 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1496 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
    1556 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1588 C:\Programme\Java\jre6\bin\jqs.exe
    1632 C:\WINDOWS\system32\PnkBstrA.exe
     428 C:\WINDOWS\explorer.exe
     628 alg.exe
     976 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2120 C:\WINDOWS\system32\rundll32.exe
    2136 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    2168 C:\Programme\EXPERTool\TBPANEL.exe
    2192 C:\WINDOWS\system32\devldr32.exe
    2204 C:\WINDOWS\system32\ctfmon.exe
    3180 C:\Programme\Opera\opera.exe
    4048 C:\Dokumente und Einstellungen\****\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000006`1a79e400  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00  (NTFS)

PhysicalDrive0 Model Number: WDCWD1600AAJB-00J3A0, Rev: 01.03E01

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0   RE: Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

29.03.2011, 19:28	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BDS/Hupigon.cddf in avscan.exe, avcenter.exe, und weitere Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ __________________

02.04.2011, 13:36	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BDS/Hupigon.cddf in avscan.exe, avcenter.exe, und weitere Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html __________________ Logfiles bitte immer in CODE-Tags posten

BDS/Hupigon.cddf in avscan.exe, avcenter.exe, und weitere

Log-Analyse und Auswertung: BDS/Hupigon.cddf in avscan.exe, avcenter.exe, und weitere