Möglicher Maleware Befall - Typ unbekannt

Tomsax · 31.03.2011, 11:33

Hallo,

ich hoffe ihr könnt mir helfen. Ohne lange Vorrede möchte ich gleich auf mein Problem kommen, um euch nicht zu viel eurer wertvollen Zeit zu stehlen.

Grundlegendes:

Ich surfe prinzipiell mit meinem Benutzerkonto, bei dem ich keine Adminrechte habe. Ich lasse als Sicherheitsprogramme „Avira AntiVir Personal – Free Antivirus“, „ZoneAlarm“ und „Ad-Aware“ laufen. Ich surfe mit Firefox.

Unfall bzw. möglicher Schädlingsbefall

Gestern Abend (30.03.2011) suchte ich über Google Bildsuche ein Bild für ein Projekt. (Also kein Schmuddelkram

). Als ich ein Bild öffnen wollte, verkleinerte sich plötzlich mein gesamter Browserbildschirm im unten rechten Eck und lies sich nicht mehr vergrößern. Darüber öffnete sich ein neues Fenster in dem folgendes Stand:

Statusleiste: hxxp://antivirus-4749.co.cc meldet:
Textfenster: Warning!!! Your computer is at risk of maleware attacks. We recommend you to check your system immediately. Press OK to start the process now ...
Dann gab es noch eine OK-Taste

Voller Panik schaltete ich den PC aus, weil sich der Browser nicht mehr, nicht mal über den Task-Manager, schließen lies.

Als ich den PC wieder hochfuhr und den Firefox startete, kam selbe Meldung und das Browserfenster war immer noch verkleinert in der rechten unteren Ecke und lies sich nicht öffnen.

Also drückte ich oben Rechts das kleine rote X um das Fenster mit der Meldung zu schließen.

In diesem Moment vergrößerte sich wieder das Browserfenster und ich sah auf dem Bildschirm etwas, das aussah, als würde es einen Virenscan imitieren. Viel Bewegung, grüne Streifen wie beim Download usw.

Voller Panik schaltete ich wieder den PC aus. Nach dem Hochfahren konnte ich den Browser wieder wie gewohnt öffnen.

Folgen

Bis jetzt keine bemerkbaren. Der PC läuft normal. Doch ich traue der ganzen Geschichte nicht.

Fragen

Könnt ihr aus den anhängenden Dateien erkennen ob ich befallen bin mit irgend eine Seuche? Wenn ja, was soll ich tun? Sofern es am besten ist, das System neu zu machen, reicht es, wenn ich den Benutzer lösche und einen neuen erstelle oder muss auch der Admin-Benutzer neu gemacht werden?

Neben den Protokollen, die ich mit eurem „Load.exe“ erstellt haben, ist noch ein HijackThis Log dabei, den ich von meinem möglicherweise befallenem Benutzerkonto erstellt habe.

Ich danke euch schon jetzt einmal sehr für euren Aufwand und hoffe doch sehr, dass ihr nichts findet

… Falls ihr noch irgendwelche Fragen habt oder ich irgendetwas machen soll, damit ihr mehr Informationen erhaltet, immer her damit.

Gruß
Thomas

cosinus · 31.03.2011, 18:16

Zitat:

Ich lasse als Sicherheitsprogramme „Avira AntiVir Personal – Free Antivirus“, „ZoneAlarm“ und „Ad-Aware“ laufen.

Das ist zuviel. Ich würde definitiv ZoneAlarm weglassen und Ad-Aware auch.

Zitat:

Als ich ein Bild öffnen wollte, verkleinerte sich plötzlich mein gesamter Browserbildschirm im unten rechten Eck und lies sich nicht mehr vergrößern. Darüber öffnete sich ein neues Fenster in dem folgendes Stand:

Alle wichtigen Programme aktuell? Firefox, Java RE, AdobeFlashplayer??

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Tomsax · 31.03.2011, 21:43

Hallo. Ersteinmal Danke für deine Antwort.

Warum würdest du ZoneAlarm und Ad-Aware weglassen? *reine Neugier*
Was die Aktuallität der benannten Programme angeht: Also sie müssten aktuell sein. Jedenfalls bin ich ziemlich hinterher, immer alles aktuell zu halten.

So, nun zu dem Logbericht von Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6229

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.03.2011 22:23:51
mbam-log-2011-03-31 (22-23-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176021
Laufzeit: 9 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\updater.exe (Spyware.OnLineGames) -> Quarantined and deleted successfully.

cosinus · 01.04.2011, 13:02

Zitat:

Warum würdest du ZoneAlarm und Ad-Aware weglassen? *reine Neugier*

Weil die Dinger nichts taugen, kontraproduktiv sind! "Viel hilft viel" ist Quatsch. Man sollte sich um sinnvolle Absicherung kümmern und nicht einfach sinnfreie Software aufs System klatschen, in der Hoffnung man macht es schon "irgendwie" sicherer.

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Tomsax · 01.04.2011, 18:04

Sehr interessant. Na, ich lasse mir das mal durch den Kopf gehen. Aber was ich bis jetzt gelesen habe, ist es ganz sinnig.

Im Anhang ist der Scan vom vollen System. Der hat nichts gefunden, wie ich sehe. Aber während des Scans hat Antivir eine Malewareattacke gemeldet die ich gelöscht habe.

cosinus · 01.04.2011, 19:09

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.19 18:38:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2002.01.24 15:22:02 | 000,000,051 | ---- | M] () - D:\Autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2010.07.19 00:32:10 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [1999.03.10 18:08:14 | 000,000,139 | R--- | M] () - G:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{21a8cda8-9758-11df-9726-000c6e16eabc}\Shell\AutoRun\command - "" = K:\InstallTomTomHOME.exe
O33 - MountPoints2\{4fe7d427-3925-11e0-b665-000c6e16eabc}\Shell - "" = AutoRun
O33 - MountPoints2\{4fe7d427-3925-11e0-b665-000c6e16eabc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4fe7d427-3925-11e0-b665-000c6e16eabc}\Shell\AutoRun\command - "" = I:\setup.exe -a
[2010.07.22 01:01:47 | 000,000,000 | ---D | M] -- C:\680833adbb25ee876f
[2010.07.22 01:03:57 | 000,000,000 | ---D | M] -- C:\e3880117bbf2b4ed1b437e7f
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Tomsax · 02.04.2011, 15:49

Ich kann dir eigentlich nicht genug danken, für deine Hilfe. Auch wenn ich absolut nicht weiß, was du da mit mir bzw. meinem Rechner machst

Aber wie gesagt, trotzdem DANKE!

Im Anhang der Log.

cosinus · 03.04.2011, 13:30

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Tomsax · 03.04.2011, 20:22

Hallo Arne,

auch das ist jetzt erledigt.

Den Log füge ich gleich ein. Aber noch eine Frage hätte ich kurz: Es ist doch richtig, dass ich nur unter dem Benutzer, der Adminrechte hat, all die Schritte abhandele. Oder müsste ich das gleiche auch noch unter dem Benutzer machen, der eingeschränkte Rechte hat und bei dem der mögliche Befall geschehen ist?

So nun aber der Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-04-03.01 - Thomas 03.04.2011  20:57:08.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.767.427 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system\OMCAMEXT.AX
c:\windows\system32\_003579_.tmp.dll
c:\windows\system32\components
c:\windows\system32\components\browser.xpt
c:\windows\system32\components\browserdirprovider.dll
c:\windows\system32\components\brwsrcmp.dll
c:\windows\system32\components\components.list
c:\windows\system32\components\FeedConverter.js
c:\windows\system32\components\FeedProcessor.js
c:\windows\system32\components\FeedWriter.js
c:\windows\system32\components\fuelApplication.js
c:\windows\system32\components\glautocomp.js
c:\windows\system32\components\GPSDGeolocationProvider.js
c:\windows\system32\components\jsconsole-clhandler.js
c:\windows\system32\components\jsmimeemitter.js
c:\windows\system32\components\mail.xpt
c:\windows\system32\components\mailContentHandler.js
c:\windows\system32\components\mdn-service.js
c:\windows\system32\components\msgAsyncPrompter.js
c:\windows\system32\components\NetworkGeolocationProvider.js
c:\windows\system32\components\newsblog.js
c:\windows\system32\components\nsAbAutoCompleteMyDomain.js
c:\windows\system32\components\nsAbAutoCompleteSearch.js
c:\windows\system32\components\nsAbLDAPAttributeMap.js
c:\windows\system32\components\nsActivity.js
c:\windows\system32\components\nsActivityManager.js
c:\windows\system32\components\nsActivityManagerUI.js
c:\windows\system32\components\nsAddonRepository.js
c:\windows\system32\components\nsBadCertHandler.js
c:\windows\system32\components\nsBlocklistService.js
c:\windows\system32\components\nsBrowserContentHandler.js
c:\windows\system32\components\nsBrowserGlue.js
c:\windows\system32\components\nsContentDispatchChooser.js
c:\windows\system32\components\nsContentPrefService.js
c:\windows\system32\components\nsDefaultCLH.js
c:\windows\system32\components\nsDownloadManagerUI.js
c:\windows\system32\components\nsExtensionManager.js
c:\windows\system32\components\nsFormAutoComplete.js
c:\windows\system32\components\nsHandlerService.js
c:\windows\system32\components\nsHelperAppDlg.js
c:\windows\system32\components\nsINIProcessor.js
c:\windows\system32\components\nsLDAPProtocolHandler.js
c:\windows\system32\components\nsLivemarkService.js
c:\windows\system32\components\nsLoginInfo.js
c:\windows\system32\components\nsLoginManager.js
c:\windows\system32\components\nsLoginManagerPrompter.js
c:\windows\system32\components\nsMailDefaultHandler.js
c:\windows\system32\components\nsMailNewsCommandLineHandler.js
c:\windows\system32\components\nsMicrosummaryService.js
c:\windows\system32\components\nsMsgTraitService.js
c:\windows\system32\components\nsPhishingProtectionApplication.js
c:\windows\system32\components\nsPlacesAutoComplete.js
c:\windows\system32\components\nsPlacesDBFlush.js
c:\windows\system32\components\nsPlacesTransactionsService.js
c:\windows\system32\components\nsPrivateBrowsingService.js
c:\windows\system32\components\nsProxyAutoConfig.js
c:\windows\system32\components\nsSafebrowsingApplication.js
c:\windows\system32\components\nsSearchService.js
c:\windows\system32\components\nsSearchSuggestions.js
c:\windows\system32\components\nsSessionStartup.js
c:\windows\system32\components\nsSessionStore.js
c:\windows\system32\components\nsSetDefaultBrowser.js
c:\windows\system32\components\nsSetDefaultMail.js
c:\windows\system32\components\nsSidebar.js
c:\windows\system32\components\nsSMTPProtocolHandler.js
c:\windows\system32\components\nsTaggingService.js
c:\windows\system32\components\nsTryToClose.js
c:\windows\system32\components\nsUpdateService.js
c:\windows\system32\components\nsUpdateServiceStub.js
c:\windows\system32\components\nsUpdateTimerManager.js
c:\windows\system32\components\nsUrlClassifierLib.js
c:\windows\system32\components\nsUrlClassifierListManager.js
c:\windows\system32\components\nsURLFormatter.js
c:\windows\system32\components\nsWebHandlerApp.js
c:\windows\system32\components\offlineStartup.js
c:\windows\system32\components\pluginGlue.js
c:\windows\system32\components\smime-service.js
c:\windows\system32\components\steelApplication.js
c:\windows\system32\components\storage-Legacy.js
c:\windows\system32\components\storage-mozStorage.js
c:\windows\system32\components\txEXSLTRegExFunctions.js
c:\windows\system32\components\WebContentConverter.js
c:\windows\system32\ReadMe.txt
c:\windows\system32\sstray.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-03 bis 2011-04-03  ))))))))))))))))))))))))))))))
.
.
2011-03-30 19:34 . 2011-03-30 19:45	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\PhotoFiltre
2011-03-12 15:15 . 2011-03-12 15:15	11793368	----a-w-	c:\windows\system32\xul.dll
2011-03-12 11:28 . 2011-03-12 11:28	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2011-03-06 17:09 . 2011-03-06 17:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2011-03-06 17:08 . 2011-03-06 17:08	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-03-06 17:08 . 2011-03-06 17:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-03-06 12:43 . 2011-03-06 12:43	12587696	----a-w-	c:\windows\system32\thunderbird.exe.moz-callback
2011-03-06 12:43 . 2011-03-06 12:43	21680	----a-w-	c:\windows\system32\nsldappr32v60.dll
2011-03-06 12:43 . 2011-03-06 12:43	16560	----a-w-	c:\windows\system32\nsldif32v60.dll
2011-03-06 12:43 . 2011-03-06 12:43	161968	----a-w-	c:\windows\system32\nsldap32v60.dll
2011-03-06 12:43 . 2011-03-06 12:43	51376	----a-w-	c:\windows\system32\mozMapi32.dll
2011-03-06 12:43 . 2011-03-06 12:43	--------	d-----w-	c:\windows\system32\isp
2011-03-06 12:43 . 2011-03-06 12:43	18608	----a-w-	c:\windows\system32\WSEnable.exe
2011-03-06 12:43 . 2011-03-06 12:43	18096	----a-w-	c:\windows\system32\MapiProxy.dll
2011-03-04 21:55 . 2011-02-18 16:28	69120	----a-w-	c:\windows\system32\zlcomm.dll
2011-03-04 21:55 . 2011-02-18 16:28	104448	----a-w-	c:\windows\system32\zlcommdb.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-17 13:28 . 2010-07-19 19:17	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-18 16:28 . 2010-07-20 20:31	46592	----a-w-	c:\windows\system32\vsutil_loc0407.dll
2011-02-18 16:28 . 2010-07-20 20:30	1238528	----a-w-	c:\windows\system32\zpeng25.dll
2011-02-09 13:53 . 2002-08-29 12:00	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2002-08-29 12:00	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-05 19:05 . 2011-02-05 19:05	2272	----a-w-	c:\windows\system32\w95inf16.dll
2011-02-05 19:05 . 2011-02-05 19:05	4608	----a-w-	c:\windows\system32\w95inf32.dll
2011-02-02 07:58 . 2010-07-19 16:34	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2010-07-19 16:34	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2002-08-29 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\programme\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]
.
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
2010-05-09 09:50	2517088	----a-w-	c:\programme\ZoneAlarm-Sicherheit\tbZone.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\programme\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]
.
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"Update Service"="c:\progra~1\GEMEIN~1\TEKNUM~1\update.exe" [2010-07-24 19456]
"TomTomHOME.exe"="c:\programme\Eigene Programme\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"CARPService"="carpserv.exe" [2003-03-18 4608]
"zBrowser Launcher"="c:\programme\iTouch\iTouch.exe" [2002-11-23 631362]
"avgnt"="c:\programme\Eigene Programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-05 281768]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="c:\programme\Eigene Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-07-22 202256]
"Eraser"="c:\progra~1\EIGENE~1\Eraser\Eraser.exe" [2010-04-10 979344]
"ContentTransferWMDetector.exe"="c:\programme\Eigene Programme\Sony\Content Transfer\ContentTransferWMDetector.exe" [2009-11-19 583016]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"Adobe Reader Speed Launcher"="c:\programme\Eigene Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"ZoneAlarm Client"="c:\programme\Eigene Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 1043968]
"ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2011-02-15 738808]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Eigene Programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Eigene Programme\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [20.07.2010 22:53 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Eigene Programme\Avira\AntiVir Desktop\sched.exe [19.07.2010 21:17 135336]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [15.06.2010 17:49 26872]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [15.06.2010 17:49 488952]
R2 MotoHelper;MotoHelper Service;c:\programme\Motorola\MotoHelper\MotoHelperService.exe [07.09.2010 18:47 202048]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\Eigene Programme\TomTom HOME 2\TomTomHOMEService.exe [24.06.2010 16:41 92008]
R3 PhTVTune;ASUS TV7134 WDM TVTuner;c:\windows\system32\drivers\phtvtune.sys [19.07.2010 19:34 27744]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [03.04.2011 19:32 136176]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Eigene Programme\Lavasoft\Ad-Aware\AAWService.exe [12.07.2010 10:55 1375992]
S3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\drivers\motfilt.sys [15.02.2011 20:11 6016]
S3 motandroidusb;Mot ADB Interface Driver;c:\windows\system32\drivers\motoandroid.sys [15.02.2011 20:11 25856]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [15.02.2011 20:11 19968]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [15.02.2011 20:11 8320]
S3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\drivers\Motousbnet.sys [15.02.2011 20:11 23424]
S3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\drivers\motusbdevice.sys [15.02.2011 20:11 9472]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [24.07.2010 22:13 90408]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [24.07.2010 22:13 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [24.07.2010 22:13 122024]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [24.07.2010 22:13 115368]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [24.07.2010 22:13 25768]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [24.07.2010 22:13 111784]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [24.07.2010 22:13 117544]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - Lavasoft Kernexplorer
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Eigene Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-07-12 14:35]
.
2011-04-03 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Eigene Programme\Glary Utilities\initialize.exe [2010-07-24 09:14]
.
2011-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-03 17:31]
.
2011-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-03 17:31]
.
2011-04-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-484763869-1343024091-839522115-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
2011-04-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-484763869-1343024091-839522115-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
2011-04-02 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-484763869-1343024091-839522115-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
2011-03-25 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-484763869-1343024091-839522115-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Free YouTube Download - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\EIGENE~1\MICROS~1\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\c3l1mkbl.default\
FF - prefs.js: browser.startup.homepage - www.t-online.de
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Eigene Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Eigene Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Eigene Programme\Java\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: Fast Video Download (with SearchMenu): {c50ca3c4-5656-43c2-a061-13e717f73fc8} - %profile%\extensions\{c50ca3c4-5656-43c2-a061-13e717f73fc8}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-nForce Tray Options - sstray.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-03 21:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(660)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'lsass.exe'(716)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Zeit der Fertigstellung: 2011-04-03  21:06:03
ComboFix-quarantined-files.txt  2011-04-03 19:06
.
Vor Suchlauf: 9 Verzeichnis(se), 89.058.766.848 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 92.314.697.728 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - B35B1643EA5D4F73387F7A6CC245A311

--- --- ---

cosinus · 04.04.2011, 08:29

Zitat:

FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Solltest du doch deinstallieren

Zitat:

Oder müsste ich das gleiche auch noch unter dem Benutzer machen, der eingeschränkte Rechte hat und bei dem der mögliche Befall geschehen ist?

Nein das funktioniert auch nicht. Die Tools benötigen Adminrechte.

Tomsax · 04.04.2011, 09:41

OK, *schäm* *rotwerd* Bin ja schon dabei

Zonealarm ist gleich weg.

Muss ich deswegen nochmal was durchlaufen lassen?

cosinus · 04.04.2011, 11:46

Wenn ZA deinstalliert ist, dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Tomsax · 04.04.2011, 12:29

2011/04/04 13:25:25.0140 3764 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/04 13:25:25.0484 3764 ================================================================================
2011/04/04 13:25:25.0484 3764 SystemInfo:
2011/04/04 13:25:25.0484 3764
2011/04/04 13:25:25.0484 3764 OS Version: 5.1.2600 ServicePack: 3.0
2011/04/04 13:25:25.0484 3764 Product type: Workstation
2011/04/04 13:25:25.0484 3764 ComputerName: TOMSAX
2011/04/04 13:25:25.0484 3764 UserName: Thomas
2011/04/04 13:25:25.0484 3764 Windows directory: C:\WINDOWS
2011/04/04 13:25:25.0484 3764 System windows directory: C:\WINDOWS
2011/04/04 13:25:25.0484 3764 Processor architecture: Intel x86
2011/04/04 13:25:25.0484 3764 Number of processors: 1
2011/04/04 13:25:25.0484 3764 Page size: 0x1000
2011/04/04 13:25:25.0484 3764 Boot type: Normal boot
2011/04/04 13:25:25.0484 3764 ================================================================================
2011/04/04 13:25:25.0968 3764 Initialize success
2011/04/04 13:25:30.0234 3744 ================================================================================
2011/04/04 13:25:30.0234 3744 Scan started
2011/04/04 13:25:30.0234 3744 Mode: Manual;
2011/04/04 13:25:30.0234 3744 ================================================================================
2011/04/04 13:25:31.0984 3744 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/04 13:25:32.0109 3744 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/04 13:25:32.0343 3744 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/04 13:25:32.0484 3744 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/04 13:25:33.0031 3744 AmdK7 (3a0dafac778236559c14c7203fb550eb) C:\WINDOWS\system32\DRIVERS\amdk7.sys
2011/04/04 13:25:33.0265 3744 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/04/04 13:25:33.0718 3744 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/04 13:25:33.0859 3744 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/04 13:25:34.0093 3744 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/04 13:25:34.0234 3744 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/04 13:25:34.0328 3744 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgio.sys
2011/04/04 13:25:34.0468 3744 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/04/04 13:25:34.0609 3744 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/04/04 13:25:34.0750 3744 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/04 13:25:34.0875 3744 BTCFilterService (4813df77ede536a52e3737971f910baa) C:\WINDOWS\system32\DRIVERS\motfilt.sys
2011/04/04 13:25:35.0015 3744 Cap7134 (bef8a07a00b492d592a9e38dbc89081d) C:\WINDOWS\system32\DRIVERS\Cap7134.sys
2011/04/04 13:25:35.0250 3744 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/04 13:25:35.0375 3744 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/04/04 13:25:35.0578 3744 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/04 13:25:35.0703 3744 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/04 13:25:35.0875 3744 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/04 13:25:36.0578 3744 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/04 13:25:36.0796 3744 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/04 13:25:37.0015 3744 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/04 13:25:37.0171 3744 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/04 13:25:37.0312 3744 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/04 13:25:37.0578 3744 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/04 13:25:37.0750 3744 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/04 13:25:37.0890 3744 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/04/04 13:25:38.0046 3744 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/04 13:25:38.0171 3744 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/04/04 13:25:38.0312 3744 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/04/04 13:25:38.0437 3744 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/04 13:25:38.0578 3744 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/04 13:25:38.0703 3744 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/04 13:25:38.0984 3744 HSFHWBS2 (2bdac562041d599726f437e0ec50ad51) C:\WINDOWS\system32\DRIVERS\HSFHWBS2.sys
2011/04/04 13:25:39.0140 3744 HSF_DP (a09c357e2f1412c8f01bc132d07cf644) C:\WINDOWS\system32\DRIVERS\HSF_DP.sys
2011/04/04 13:25:39.0328 3744 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/04 13:25:39.0671 3744 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/04 13:25:39.0812 3744 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/04 13:25:40.0140 3744 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/04/04 13:25:40.0281 3744 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/04 13:25:40.0421 3744 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/04 13:25:40.0562 3744 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/04 13:25:40.0703 3744 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/04 13:25:40.0843 3744 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/04 13:25:40.0984 3744 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/04 13:25:41.0109 3744 itchfltr (936123d83e80c1cb3ea042d7fb98da25) C:\WINDOWS\system32\DRIVERS\itchfltr.sys
2011/04/04 13:25:41.0250 3744 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/04 13:25:41.0375 3744 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/04 13:25:41.0500 3744 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/04 13:25:41.0828 3744 mdmxsdk (b72d7ea394d5f1c5053368783ad7f7ed) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/04/04 13:25:41.0968 3744 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/04 13:25:42.0109 3744 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/04 13:25:42.0234 3744 MODEMCSA (1992e0d143b09653ab0f9c5e04b0fd65) C:\WINDOWS\system32\drivers\MODEMCSA.sys
2011/04/04 13:25:42.0375 3744 motandroidusb (0a43169e115b5e9346a4ba1effcb04cb) C:\WINDOWS\system32\Drivers\motoandroid.sys
2011/04/04 13:25:42.0515 3744 motccgp (7b8d7bb9ae3ae9cd133bbc5aa91dd3cc) C:\WINDOWS\system32\DRIVERS\motccgp.sys
2011/04/04 13:25:42.0656 3744 motccgpfl (b812da6605caf02641312f1f65c75419) C:\WINDOWS\system32\DRIVERS\motccgpfl.sys
2011/04/04 13:25:42.0781 3744 motmodem (c3b0fd4f463e90b3917ff6ccea853bb6) C:\WINDOWS\system32\DRIVERS\motmodem.sys
2011/04/04 13:25:42.0906 3744 MotoSwitchService (fd8c2cef7ad8b23c6714103d621fac1f) C:\WINDOWS\system32\DRIVERS\motswch.sys
2011/04/04 13:25:43.0031 3744 Motousbnet (ddc489d40b49f443787e7ffa75373522) C:\WINDOWS\system32\DRIVERS\Motousbnet.sys
2011/04/04 13:25:43.0171 3744 motusbdevice (2136cca3d1bf7c0248e5366b1a6c24e3) C:\WINDOWS\system32\DRIVERS\motusbdevice.sys
2011/04/04 13:25:43.0296 3744 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/04 13:25:43.0453 3744 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/04 13:25:43.0718 3744 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/04 13:25:43.0875 3744 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/04 13:25:44.0062 3744 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/04 13:25:44.0187 3744 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/04 13:25:44.0328 3744 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/04 13:25:44.0468 3744 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/04 13:25:44.0593 3744 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/04 13:25:44.0734 3744 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/04/04 13:25:44.0859 3744 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/04 13:25:45.0000 3744 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/04/04 13:25:45.0171 3744 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/04 13:25:45.0312 3744 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/04/04 13:25:45.0437 3744 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/04/04 13:25:45.0562 3744 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/04/04 13:25:45.0687 3744 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/04/04 13:25:45.0843 3744 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/04 13:25:46.0000 3744 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/04/04 13:25:46.0140 3744 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/04/04 13:25:46.0312 3744 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/04/04 13:25:46.0453 3744 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/04 13:25:46.0609 3744 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/04 13:25:46.0781 3744 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/04 13:25:46.0953 3744 nv (5d701fca6f7db7a8a7d21f80a84d291a) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/04/04 13:25:47.0125 3744 nvax (53613d03039d7554c6cd728c61f9fd94) C:\WINDOWS\system32\drivers\nvax.sys
2011/04/04 13:25:47.0250 3744 NVENET (fbe448efa5484a256528e1d02b959bbc) C:\WINDOWS\system32\DRIVERS\NVENET.sys
2011/04/04 13:25:47.0390 3744 nvnforce (c47a3d4850298f60bfdd7bb1f86e2821) C:\WINDOWS\system32\drivers\nvapu.sys
2011/04/04 13:25:47.0546 3744 nv_agp (db36442c20793c53b4128eb85f9a3d32) C:\WINDOWS\system32\DRIVERS\nv_agp.sys
2011/04/04 13:25:47.0671 3744 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/04/04 13:25:47.0796 3744 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/04/04 13:25:47.0937 3744 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/04/04 13:25:48.0109 3744 OVT511Plus (c5739be3a8eecdf951955a38e1741f45) C:\WINDOWS\system32\Drivers\omcamvid.sys
2011/04/04 13:25:48.0296 3744 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/04/04 13:25:48.0406 3744 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/04 13:25:48.0531 3744 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/04 13:25:48.0656 3744 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/04 13:25:48.0890 3744 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/04/04 13:25:49.0046 3744 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/04/04 13:25:49.0828 3744 PhTVTune (a238ccada8631ff1759b0bff2bb5d49b) C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
2011/04/04 13:25:49.0984 3744 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/04/04 13:25:50.0125 3744 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/04 13:25:50.0250 3744 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/04 13:25:50.0390 3744 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/04/04 13:25:51.0093 3744 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/04/04 13:25:51.0265 3744 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/04/04 13:25:51.0437 3744 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/04/04 13:25:51.0562 3744 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/04/04 13:25:51.0703 3744 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/04/04 13:25:51.0859 3744 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/04 13:25:52.0015 3744 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/04 13:25:52.0140 3744 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/04/04 13:25:52.0328 3744 s1018bus (27ccf532a08f437ffc795158b8b7a7f6) C:\WINDOWS\system32\DRIVERS\s1018bus.sys
2011/04/04 13:25:52.0437 3744 s1018mdfl (2443aca3551cfb160ecaa642f6718b99) C:\WINDOWS\system32\DRIVERS\s1018mdfl.sys
2011/04/04 13:25:52.0578 3744 s1018mdm (9d273a6cf8f984097e61ecd68827d8c0) C:\WINDOWS\system32\DRIVERS\s1018mdm.sys
2011/04/04 13:25:52.0718 3744 s1018mgmt (57d4d2efd2f3dc4bb8a351702ae01ba5) C:\WINDOWS\system32\DRIVERS\s1018mgmt.sys
2011/04/04 13:25:52.0843 3744 s1018nd5 (2102d69ed2ed4b89a607c4e09504fb59) C:\WINDOWS\system32\DRIVERS\s1018nd5.sys
2011/04/04 13:25:52.0953 3744 s1018obex (382921439a5fb855cc6e000ac24d0c95) C:\WINDOWS\system32\DRIVERS\s1018obex.sys
2011/04/04 13:25:53.0093 3744 s1018unic (4e2c788d013e567bd68ae4ad36485239) C:\WINDOWS\system32\DRIVERS\s1018unic.sys
2011/04/04 13:25:53.0250 3744 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/04 13:25:53.0390 3744 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/04/04 13:25:53.0515 3744 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/04/04 13:25:53.0671 3744 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/04/04 13:25:53.0906 3744 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/04/04 13:25:54.0140 3744 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/04 13:25:54.0265 3744 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/04 13:25:54.0421 3744 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/04 13:25:54.0578 3744 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/04/04 13:25:54.0718 3744 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/04/04 13:25:54.0859 3744 StreamDispatcher (20cbedf1964b87bec9f819ab6a4800cc) C:\WINDOWS\system32\DRIVERS\strmdisp.sys
2011/04/04 13:25:54.0968 3744 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/04/04 13:25:55.0109 3744 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/04 13:25:55.0250 3744 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/04 13:25:55.0781 3744 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/04 13:25:55.0968 3744 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/04/04 13:25:56.0140 3744 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/04 13:25:56.0281 3744 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/04 13:25:56.0437 3744 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/04/04 13:25:56.0687 3744 truecrypt (075b938565a580e0a880eb0e403a356b) C:\WINDOWS\system32\drivers\truecrypt.sys
2011/04/04 13:25:56.0859 3744 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/04 13:25:57.0109 3744 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/04 13:25:57.0265 3744 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/04/04 13:25:57.0375 3744 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/04 13:25:57.0515 3744 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/04/04 13:25:57.0656 3744 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/04/04 13:25:57.0828 3744 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/04 13:25:57.0953 3744 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/04 13:25:58.0171 3744 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/04 13:25:58.0328 3744 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/04 13:25:58.0500 3744 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/04/04 13:25:58.0781 3744 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/04 13:25:58.0937 3744 winachsf (fce68b254a8e04cf269c5255575b7e3c) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
2011/04/04 13:25:59.0234 3744 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\Drivers\wpdusb.sys
2011/04/04 13:25:59.0390 3744 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/04/04 13:25:59.0531 3744 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/04/04 13:25:59.0687 3744 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/04/04 13:25:59.0921 3744 ================================================================================
2011/04/04 13:25:59.0921 3744 Scan finished
2011/04/04 13:25:59.0921 3744 ================================================================================

cosinus · 04.04.2011, 13:02

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Tomsax · 04.04.2011, 16:38

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-04-04 17:35:50
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD1200BB-00CAA1 rev.17.07W17
Running: 0cnzugiq.exe; Driver: C:\DOKUME~1\Thomas\LOKALE~1\Temp\uxtdipoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7B3AE6E                              ZwCreateKey
SSDT            F7B3AE64                              ZwCreateThread
SSDT            F7B3AE73                              ZwDeleteKey
SSDT            F7B3AE7D                              ZwDeleteValueKey
SSDT            F7B3AE82                              ZwLoadKey
SSDT            F7B3AE50                              ZwOpenProcess
SSDT            F7B3AE55                              ZwOpenThread
SSDT            F7B3AE8C                              ZwReplaceKey
SSDT            F7B3AE87                              ZwRestoreKey
SSDT            F7B3AE78                              ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\nvax.sys  entry point in "init" section [0xF79E9392]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

04.04.2011, 11:46	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Möglicher Maleware Befall - Typ unbekannt Wenn ZA deinstalliert ist, dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html __________________ Logfiles bitte immer in CODE-Tags posten

Möglicher Maleware Befall - Typ unbekannt

Log-Analyse und Auswertung: Möglicher Maleware Befall - Typ unbekannt