Hallo
Leider wurde ich auch von diesem Trojaner (TR/kazy.mekml.1) befallen und habe mich aus diesem Grund hier registriert.

Ich sehe ebenfalls keine Dateien mehr (jedoch nur bezogen auf meine Systemfestplatte), Desktop schwarz, häufige Warnmeldungen von antivir und Systemfehlermeldungen, zwischendurch startet der PC auch neu, wenn ich eine bestimmte Fehlermeldung wegklicke.

Die OTL-scans habe ich gemacht (im Anhang) und wäre äußerst dankbar, wenn mir jemand helfen könnte!

Vielen Dank!!

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Vielen Dank für die Antwort und Hilfe!!
Das ist gerade alles extrem ungünstig und ich wäre unbeschreiblich froh, wenn mir jmd. hilft diesen Trojaner wieder los zubekommen.

Der Report des Malwarebytes-Volldurchlaufs ist im Anhang.

Eine Frage:
Ich kann über die Suchfunktion im Startmenü konkrete Dateien finden. Besteht eine Gefahr der Übertragung des Trojaners, wenn ich die Dateien auf einen USB-Stick ziehe und diesen dann auf einen anderen PC kopiere?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - C:\ProgramData\kmQvQcUSBfWiJhv.exe (WinTrust)
O4 - HKCU..\Run: [kmQvQcUSBfWiJhv] C:\ProgramData\kmQvQcUSBfWiJhv.exe (WinTrust)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | -H-- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{0a63488c-8b51-11de-88bb-b49a0a9b348c}\Shell\AutoRun\command - "" = WDSetup.exe
O33 - MountPoints2\{806556ef-ee40-11de-96e5-da0b1b151eea}\Shell\AutoRun\command - "" = F:\Menu.exe
O33 - MountPoints2\{bda76dc9-1fff-11df-8ea9-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Toshiba\more4you.exe
O33 - MountPoints2\{dfadf473-337d-11df-b9bb-c5e57b274e31}\Shell\AutoRun\command - "" = Driver\Files\zerX.exe
O33 - MountPoints2\{dfadf473-337d-11df-b9bb-c5e57b274e31}\Shell\open\command - "" = Driver\Files\zerX.exe
[2011.04.28 12:17:06 | 000,573,440 | -H-- | C] (WinTrust) -- C:\ProgramData\kmQvQcUSBfWiJhv.exe
[2011.04.28 14:38:42 | 000,045,056 | -H-- | M] () -- C:\Windows\System32\acovcnt.exe
[2011.04.28 12:17:06 | 000,573,440 | -H-- | M] (WinTrust) -- C:\ProgramData\kmQvQcUSBfWiJhv.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
No active process named kmQvQcUSBfWiJhv.exe was found!
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\kmQvQcUSBfWiJhv not found.
File C:\ProgramData\kmQvQcUSBfWiJhv.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a63488c-8b51-11de-88bb-b49a0a9b348c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a63488c-8b51-11de-88bb-b49a0a9b348c}\ not found.
File WDSetup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{806556ef-ee40-11de-96e5-da0b1b151eea}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{806556ef-ee40-11de-96e5-da0b1b151eea}\ not found.
File F:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bda76dc9-1fff-11df-8ea9-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bda76dc9-1fff-11df-8ea9-806e6f6e6963}\ not found.
File F:\Toshiba\more4you.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dfadf473-337d-11df-b9bb-c5e57b274e31}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfadf473-337d-11df-b9bb-c5e57b274e31}\ not found.
File Driver\Files\zerX.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dfadf473-337d-11df-b9bb-c5e57b274e31}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfadf473-337d-11df-b9bb-c5e57b274e31}\ not found.
File Driver\Files\zerX.exe not found.
File C:\ProgramData\kmQvQcUSBfWiJhv.exe not found.
C:\Windows\System32\acovcnt.exe moved successfully.
File C:\ProgramData\kmQvQcUSBfWiJhv.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Johannes
->Temp folder emptied: 85283437 bytes
->Temporary Internet Files folder emptied: 171266497 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 57373194 bytes
->Flash cache emptied: 63142 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1484218 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23466651 bytes
RecycleBin emptied: 4068457346 bytes
 
Total Files Cleaned = 4.203,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 04302011_070828

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Ist es möglich Dateien bald wieder sichtbar zu machen? Ich will gar kein Stress machen, brauche aber heute unbedingt ein Dokument von meiner Festplatte...

Danke für die Mühen!

Hallo Arne,
Ich habe bei Leuten nachgelesen, denen du auch schon geholfen hast. Oft hast du in diesem Moment geraten kaspersky-tdsskiller auszuführen und ev. auch unhide, um dateien sichtbar zu machen.
Das habe ich getan, Dateien sind gottseidank wieder da!!! kaspersky hat auch funktioniert und meint, dass keine infizierten dateien vorhanden sind. Das bestätigt auch ein neuer Quickscan von malwarebytes(aktualisiert). Beide im Anhang

Ich weiß jetzt nicht, ob ich den virus noch hab oder nicht, weil ich gar nicht weiß, wann ich ihn entfernt hab und zB. mein startmenü noch leer ist.

Kann ich noch irgendwas sicherheitshalber nachprüfen?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

Danke nochmal für alles!!
Den neuen Thread habe ich aufgemacht, weil es ein anderes Thema war und ich dacht, es gibt vielleicht noch andere Leute, die die gleiche Frage haben. Sollte nicht gegen dich gehen. Es mag villeicht eine dumme Frage sein, aber ich weiß jetzt immer noch nicht, ob solche Trojaner auch durch Dateien übertragen werden können.

Du empfiehlst mir jetzt combofix auszuführen. Nach dem Leitfaden scheint es so, dass das Programm auch Risiken birgt. Macht das Sinn, wenn mein PC eigentlich schon wieder normal läuft?
Ccleaner soll auch ausgeführt werden, vor oder nach combofix?

schönen Gruß

Ja erst CCleaner und CF ausführen. Auch wenn du glaubst der Rechner läuft wieder normal. Man muss alle möglichen Ecken des PC abasten

[CODE]
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-05-02.04 - Johannes 03.05.2011  20:14:26.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2814.1539 [GMT 2:00]
ausgeführt von:: c:\users\Johannes\Desktop\cofi.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-03 bis 2011-05-03  ))))))))))))))))))))))))))))))
.
.
2011-05-03 18:48 . 2011-05-03 18:48	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-05-03 18:01 . 2011-05-03 18:01	--------	d-----w-	c:\program files\CCleaner
2011-05-03 16:06 . 2011-04-11 07:04	7071056	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{AB86F063-5A97-4A4E-B0DB-2AE15C4CE218}\mpengine.dll
2011-05-01 10:33 . 2011-05-01 10:35	--------	d-----w-	c:\windows\system32\ca-ES
2011-05-01 10:33 . 2011-05-01 10:35	--------	d-----w-	c:\windows\system32\eu-ES
2011-05-01 10:33 . 2011-05-01 10:35	--------	d-----w-	c:\windows\system32\vi-VN
2011-04-30 05:12 . 2011-05-01 12:09	45056	----a-w-	c:\windows\system32\acovcnt.exe
2011-04-29 17:10 . 2011-04-29 17:10	--------	d-----w-	c:\users\Johannes\AppData\Roaming\Malwarebytes
2011-04-29 17:09 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-29 17:09 . 2011-04-29 17:09	--------	d-----w-	c:\programdata\Malwarebytes
2011-04-29 17:09 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-28 14:21 . 2011-04-28 14:19	580608	----a-w-	C:\OTL.exe
2011-04-27 17:28 . 2011-03-03 15:40	28672	---ha-w-	c:\windows\system32\Apphlpdm.dll
2011-04-27 17:28 . 2011-03-03 13:35	4240384	---ha-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2011-04-27 17:28 . 2011-04-27 17:28	1186056	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-04-20 16:01 . 2011-04-20 16:01	--------	d-----w-	c:\users\Johannes\AppData\Local\Jaksta_Technologies_Pty_L
2011-04-20 15:59 . 2011-04-20 15:59	--------	d-----w-	c:\programdata\Applian
2011-04-20 15:00 . 2011-04-20 15:00	--------	d-----w-	c:\program files\WinPcap
2011-04-20 15:00 . 2011-04-20 15:47	--------	d-----w-	c:\program files\URLSnooper2
2011-04-20 13:32 . 2011-04-20 13:32	--------	d-----w-	c:\users\Johannes\AppData\Roaming\ProgSense
2011-04-20 13:32 . 2011-04-20 15:43	--------	d-----w-	C:\downloads
2011-04-20 13:32 . 2011-04-20 13:32	--------	d-----w-	c:\users\Johannes\AppData\Roaming\GrabPro
2011-04-20 13:31 . 2011-04-20 15:47	--------	d-----w-	c:\program files\Orbitdownloader
2011-04-20 13:31 . 2011-04-20 15:47	--------	d-----w-	c:\users\Johannes\AppData\Roaming\Orbit
2011-04-18 16:02 . 2011-04-18 16:12	--------	d-----w-	c:\users\Johannes\.mediathek
2011-04-18 16:01 . 2011-04-18 16:01	--------	d-----w-	c:\program files\Common Files\Java
2011-04-18 16:00 . 2011-04-18 16:00	472808	----a-w-	c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2011-04-18 16:00 . 2011-04-18 16:00	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-04-18 16:00 . 2011-04-18 16:00	--------	d-----w-	c:\program files\Java
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-25 23:48 . 2011-03-25 23:48	4284416	----a-w-	c:\windows\system32\GPhotos.scr
2011-03-03 15:40 . 2011-04-27 17:28	173056	---ha-w-	c:\windows\apppatch\AcXtrnal.dll
2011-03-03 15:40 . 2011-04-27 17:28	542720	---ha-w-	c:\windows\apppatch\AcLayers.dll
2011-03-03 15:40 . 2011-04-27 17:28	458752	---ha-w-	c:\windows\apppatch\AcSpecfc.dll
2011-03-03 15:40 . 2011-04-27 17:28	2159616	---ha-w-	c:\windows\apppatch\AcGenral.dll
2008-07-02 02:28 . 2008-07-02 02:28	61440	----a-w-	c:\program files\Common Files\CPInstallAction.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 00:08	143360	----a-w-	c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"AdobeUpdater"="c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2008-11-16 2356088]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControlUser"="c:\program files\ATK Hotkey\HcontrolUser.exe" [2008-01-12 98304]
"ATKOSD2"="c:\program files\ATKOSD2\ATKOSD2.exe" [2008-01-23 7766016]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2008-01-24 1208320]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2008-02-01 61440]
"ASUS Camera ScreenSaver"="c:\windows\AsScrProlog.exe" [2008-09-02 47672]
"BigDog303"="c:\windows\VM303_STI.EXE" [2005-06-23 61440]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
.
c:\users\Johannes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Winamp.lnk - c:\program files\Winamp\winamp.exe [2009-3-9 1433952]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeUpdater"="c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 appliandMP;appliandMP;c:\windows\system32\DRIVERS\appliand.sys [x]
R3 CRFILTER;USB Mass Storage Filter;c:\windows\system32\DRIVERS\CRFILTER.sys [2008-04-07 6656]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-01-25 42000]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 lullaby;lullaby;c:\windows\system32\DRIVERS\lullaby.sys [2008-05-29 15416]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2008-05-29 22072]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-04 19:08]
.
2011-05-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-04 19:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Citavi Picker... - file://c:\programdata\Swiss Academic Software\Citavi Picker\Internet Explorer\ShowContextMenu.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Johannes\AppData\Roaming\Mozilla\Firefox\Profiles\a6s6u9cc.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.ftp - proxy.rrz.uni-hamburg.de
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - proxy.rrz.uni-hamburg.de
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - proxy.rrz.uni-hamburg.de
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - proxy.rrz.uni-hamburg.de
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - proxy.rrz.uni-hamburg.de
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {B13721C7-F507-4982-B2E5-502A71474FED} - c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-LightScribe Control Panel - c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-03 20:48
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
C:\ADSM_PData_0150
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3232)
c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt.dll
c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
.
Zeit der Fertigstellung: 2011-05-03  20:52:32
ComboFix-quarantined-files.txt  2011-05-03 18:52
.
Vor Suchlauf: 10 Verzeichnis(se), 30.429.839.360 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 30.379.630.592 Bytes frei
.
- - End Of File - - A55AFD42392CCF1D8C339C7EC901E4DF
         

--- --- ---



Da du wieder nicht auf meine Frage eingegangen bist, für die ich einen neuen Thread aufgemacht habe, gehe ich jetzt mal davon aus, dass keine Übertragungsgefahr besteht, wenn man Dateien auf einen anderen PC zieht.

Gruß,
Johannes

Zitat:

Da du wieder nicht auf meine Frage eingegangen bist,

Da geh ich später drauf ein!
Ich will dass du dich erstmal auf eine Sache konzentrierst und dich nicht in Nebenkriegsschauplätzen verzettelst!



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier die logdaten von gmer

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15572 - hxxp://www.gmer.net
Rootkit scan 2011-05-04 15:23:02
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9320320AS rev.0303
Running: cqj7qwcw.exe; Driver: C:\Users\Johannes\AppData\Local\Temp\ugddypog.sys


---- System - GMER 1.0.15 ----

SSDT            8AD2430C                                                                                 ZwCreateThread
SSDT            8AD242F8                                                                                 ZwOpenProcess
SSDT            8AD242FD                                                                                 ZwOpenThread
SSDT            8AD24307                                                                                 ZwTerminateProcess
SSDT            8AD24302                                                                                 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 221                                                            828E19A4 4 Bytes  [0C, 43, D2, 8A]
.text           ntkrnlpa.exe!KeSetEvent + 3F1                                                            828E1B74 4 Bytes  [F8, 42, D2, 8A]
.text           ntkrnlpa.exe!KeSetEvent + 40D                                                            828E1B90 4 Bytes  [FD, 42, D2, 8A]
.text           ntkrnlpa.exe!KeSetEvent + 621                                                            828E1DA4 4 Bytes  [07, 43, D2, 8A]
.text           ntkrnlpa.exe!KeSetEvent + 681                                                            828E1E04 4 Bytes  [02, 43, D2, 8A]
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                 section is writeable [0x9320F000, 0x205314, 0xE8000020]
?               C:\Windows\system32\Drivers\PROCEXP113.SYS                                               Das System kann die angegebene Datei nicht finden. !
?               C:\Users\Johannes\AppData\Local\Temp\catchme.sys                                         Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                   AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000077                                                        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                 fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler@Heartbeat  0xF0 0x82 0x88 0xE0 ...

---- Files - GMER 1.0.15 ----

File            C:\ADSM_PData_0150                                                                       0 bytes
File            C:\ADSM_PData_0150\DB                                                                    0 bytes
File            C:\ADSM_PData_0150\DB\SI.db                                                              624 bytes
File            C:\ADSM_PData_0150\DB\UL.db                                                              16 bytes
File            C:\ADSM_PData_0150\DB\VL.db                                                              16 bytes
File            C:\ADSM_PData_0150\DB\_avt                                                               512 bytes
File            C:\ADSM_PData_0150\DragWait.exe                                                          253952 bytes executable
File            C:\ADSM_PData_0150\_avt                                                                  512 bytes
File            C:\Program Files\ASUS\ASUS Data Security Manager\driver\x86                              0 bytes
File            C:\Program Files\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys                    29752 bytes executable
File            C:\Program Files\ASUS\ASUS Data Security Manager\driver\x86\_avt                         512 bytes

---- EOF - GMER 1.0.15 ----
         

OSAM muss man vor der installation entpacken. Hatte noch kein Entpack-Programm. Habe winzip bei chip runtergeladen, doch dann kommt bei der installation von winzip (als administrator ausgeführt) folgende fehlermeldung:
"Dieses Installationspaket konnte nicht geöffnet werden. Stellen Sie sicher, dass das Paket exisitiert und dass Sie darauf zugreifen können. Oder lassen Sie den Hersteller der Anwendung überprüfen, ob es sich um ein gültiges Windows Installer-Paket handelt."

Zum Entpacken musst du WinRAR oder 7Zip verwenden! => 7zip Download: mit 7-Zip Dateien packen und entpacken

OSAM

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:58:45 on 04.05.2011

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 3.0.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AMD USB Filter Driver" (usbfilter) - "Advanced Micro Devices Inc." - C:\Windows\System32\DRIVERS\usbfilter.sys
"appliandMP" (appliandMP) - ? - C:\Windows\System32\DRIVERS\appliand.sys  (File not found)
"ASMMAP" (ASMMAP) - ? - C:\Program Files\ATKGFNEX\ASMMAP.sys
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Johannes\AppData\Local\Temp\catchme.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\Windows\system32\Drivers\CVPNDRVA.sys
"Data Security Manager Driver" (AsDsm) - "Windows (R) Codename Longhorn DDK provider" - C:\Windows\system32\drivers\AsDsm.sys
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"lullaby" (lullaby) - "Windows (R) Codename Longhorn DDK provider" - C:\Windows\System32\DRIVERS\lullaby.sys
"NetGroup Packet Filter Driver" (NPF) - "CACE Technologies" - C:\Windows\System32\drivers\npf.sys
"ssmdrv" (ssmdrv) - "AVIRA GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"VIMICRO USB PC Camera (ZC0301PLH)" (ZSMC303) - "Vimicro Corporation" - C:\Windows\System32\Drivers\usbVM303.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{C55BBCD6-41AD-48AD-9953-3609C48EACC7}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10o.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
"ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Johannes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Winamp.lnk" - "Nullsoft" - C:\Program Files\Winamp\winamp.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"AdobeUpdater" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ASUS Camera ScreenSaver" - ? - C:\Windows\AsScrProlog.exe  (File found, but it contains no detailed information)
"ATKMEDIA" - ? - C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
"ATKOSD2" - ? - "C:\Program Files\ATKOSD2\ATKOSD2.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"BigDog303" - "Vimicro" - C:\Windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
"HControlUser" - ? - "C:\Program Files\ATK Hotkey\HcontrolUser.exe"
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
"ADSM Service" (ADSMService) - ? - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
"ASLDR Service" (ASLDRService) - ? - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
"ATKGFNEX Service" (ATKGFNEXSrv) - ? - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
"Avira AntiVir Personal - Free Antivirus Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
"Avira AntiVir Personal - Free Antivirus Planer" (AntiVirScheduler) - "Avira GmbH" - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
"Google Update-Dienst (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Updater Service" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Remote Packet Capture Protocol v.0 (experimental)" (rpcapd) - "CACE Technologies" - C:\Program Files\WinPcap\rpcapd.exe

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

MBRCheck

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	ASUSTeK Computer Inc.
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		ASUSTeK Computer Inc.
System Product Name:		F5Z
Logical Drives Mask:		0x0000001c

Kernel Drivers (total 144):
  0x82846000 \SystemRoot\system32\ntkrnlpa.exe
  0x82813000 \SystemRoot\system32\halmacpi.dll
  0x8040D000 \SystemRoot\system32\kdcom.dll
  0x80414000 \SystemRoot\system32\PSHED.dll
  0x80425000 \SystemRoot\system32\BOOTVID.dll
  0x8042D000 \SystemRoot\system32\CLFS.SYS
  0x8046E000 \SystemRoot\system32\CI.dll
  0x8054E000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x805CA000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x80609000 \SystemRoot\system32\drivers\acpi.sys
  0x8064F000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x80658000 \SystemRoot\system32\drivers\msisadrv.sys
  0x80660000 \SystemRoot\system32\drivers\pci.sys
  0x80687000 \SystemRoot\System32\drivers\partmgr.sys
  0x80696000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x80699000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x806A3000 \SystemRoot\system32\drivers\volmgr.sys
  0x806B2000 \SystemRoot\System32\drivers\volmgrx.sys
  0x806FC000 \SystemRoot\system32\drivers\pciide.sys
  0x80703000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x80711000 \SystemRoot\System32\drivers\mountmgr.sys
  0x80721000 \SystemRoot\system32\drivers\atapi.sys
  0x80729000 \SystemRoot\system32\drivers\ataport.SYS
  0x80747000 \SystemRoot\system32\drivers\msahci.sys
  0x80751000 \SystemRoot\system32\drivers\fltmgr.sys
  0x80783000 \SystemRoot\system32\drivers\fileinfo.sys
  0x80793000 \SystemRoot\System32\Drivers\AsDsm.sys
  0x8079D000 \SystemRoot\system32\DRIVERS\lullaby.sys
  0x82E01000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x82E72000 \SystemRoot\system32\drivers\ndis.sys
  0x82F7D000 \SystemRoot\system32\drivers\msrpc.sys
  0x82FA8000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8A008000 \SystemRoot\System32\drivers\tcpip.sys
  0x8A0F2000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8A200000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8A310000 \SystemRoot\system32\drivers\volsnap.sys
  0x8A349000 \SystemRoot\System32\Drivers\spldr.sys
  0x8A351000 \SystemRoot\System32\Drivers\mup.sys
  0x8A360000 \SystemRoot\System32\drivers\ecache.sys
  0x8A387000 \SystemRoot\system32\drivers\disk.sys
  0x8A398000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x8A3B9000 \SystemRoot\system32\DRIVERS\AtiPcie.sys
  0x8A3C1000 \SystemRoot\system32\drivers\crcdisk.sys
  0x8A3EC000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8A3F7000 \SystemRoot\system32\DRIVERS\tunmp.sys
  0x8A10D000 \SystemRoot\system32\DRIVERS\ATKACPI.sys
  0x8A115000 \SystemRoot\system32\DRIVERS\processr.sys
  0x8FA03000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8FF16000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8FFB5000 \SystemRoot\System32\drivers\watchdog.sys
  0x8A124000 \SystemRoot\system32\DRIVERS\athr.sys
  0x8FFE3000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8A1E5000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x807A5000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8A1EF000 \SystemRoot\system32\DRIVERS\usbfilter.sys
  0x8FFFB000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x82FE3000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x90005000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x90092000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x900A5000 \SystemRoot\system32\DRIVERS\kbfiltr.sys
  0x900AD000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x900B8000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0x900E7000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x900F2000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x900F6000 \SystemRoot\system32\DRIVERS\dne2000.sys
  0x90114000 \SystemRoot\system32\DRIVERS\serscan.sys
  0x9011C000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x9014B000 \SystemRoot\system32\DRIVERS\storport.sys
  0x9018C000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x90197000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x901AE000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x901B9000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x901DC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x901EB000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x807E3000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x805D7000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x90000000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x90406000 \SystemRoot\system32\DRIVERS\ks.sys
  0x90430000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x9043A000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x90447000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x9047C000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x90600000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x9048D000 \SystemRoot\system32\drivers\portcls.sys
  0x904BA000 \SystemRoot\system32\drivers\drmk.sys
  0x904DF000 \SystemRoot\system32\DRIVERS\smserial.sys
  0x905EA000 \SystemRoot\system32\drivers\modem.sys
  0x82FF2000 \SystemRoot\system32\drivers\MODEMCSA.sys
  0x905F7000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x8A1F8000 \SystemRoot\System32\Drivers\Null.SYS
  0x8A000000 \SystemRoot\System32\Drivers\Beep.SYS
  0x807F8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x805E7000 \SystemRoot\System32\drivers\vga.sys
  0x90800000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x90821000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x90829000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x90831000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x9083C000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x9084A000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0x90853000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x90869000 \SystemRoot\system32\DRIVERS\smb.sys
  0x9087D000 \SystemRoot\system32\drivers\afd.sys
  0x908C5000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x908F7000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x9090D000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x9091B000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x9092E000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x90934000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x90970000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x9097A000 \SystemRoot\System32\Drivers\dfsc.sys
  0x90991000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x909A2000 \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
  0x909A4000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x909B1000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x909BC000 \SystemRoot\System32\Drivers\dump_msahci.sys
  0x98680000 \SystemRoot\System32\win32k.sys
  0x909C6000 \SystemRoot\System32\drivers\Dxapi.sys
  0x909D0000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x988A0000 \SystemRoot\System32\TSDDD.dll
  0x988C0000 \SystemRoot\System32\cdd.dll
  0x909DF000 \SystemRoot\system32\drivers\luafv.sys
  0x9D605000 \SystemRoot\system32\drivers\spsys.sys
  0x9D6B5000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x9D6C5000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x9D6EF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x9D6F9000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9D70C000 \??\C:\Program Files\ATKGFNEX\ASMMAP.sys
  0x9D713000 \SystemRoot\system32\drivers\HTTP.sys
  0x9D780000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9D79D000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x9D7B6000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x9D7CB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x9E806000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9E83F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9E857000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9E87F000 \SystemRoot\System32\DRIVERS\srv.sys
  0x9E8CE000 \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
  0x9E8E2000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys
  0x9F20B000 \SystemRoot\system32\drivers\peauth.sys
  0x9F2E9000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x9F2F3000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x9F2FF000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x9F327000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0x77000000 \Windows\System32\ntdll.dll

Processes (total 75):
       0 System Idle Process
       4 System
     416 C:\Windows\System32\smss.exe
     484 csrss.exe
     544 C:\Windows\System32\wininit.exe
     552 csrss.exe
     588 C:\Windows\System32\services.exe
     616 C:\Windows\System32\winlogon.exe
     648 C:\Windows\System32\lsass.exe
     668 C:\Windows\System32\lsm.exe
     808 C:\Windows\System32\svchost.exe
     868 C:\Windows\System32\svchost.exe
     908 C:\Windows\System32\svchost.exe
     992 C:\Windows\System32\Ati2evxx.exe
    1016 C:\Windows\System32\svchost.exe
    1084 C:\Windows\System32\svchost.exe
    1120 C:\Windows\System32\svchost.exe
    1180 C:\Windows\System32\audiodg.exe
    1212 C:\Windows\System32\SLsvc.exe
    1312 C:\Windows\System32\svchost.exe
    1356 C:\Windows\System32\Ati2evxx.exe
    1460 C:\Program Files\ASUS\SmartLogon\smartlogon.exe
    1500 C:\Windows\System32\svchost.exe
    1604 C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
    1616 C:\Program Files\ATK Hotkey\AsLdrSrv.exe
    1632 C:\Program Files\ATKGFNEX\GFNEXSrv.exe
    1696 C:\Windows\System32\taskeng.exe
    1740 C:\Windows\System32\spoolsv.exe
    1816 C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    1848 C:\Windows\System32\svchost.exe
    2024 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
     192 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
     244 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
     460 C:\Windows\System32\svchost.exe
    1032 C:\Windows\System32\svchost.exe
    1300 C:\Windows\System32\svchost.exe
    1860 C:\Windows\System32\SearchIndexer.exe
    3544 C:\Windows\System32\dwm.exe
    3588 C:\Windows\System32\taskeng.exe
    3604 C:\Windows\explorer.exe
    3660 C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
    3820 C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    3908 C:\Program Files\ATK Hotkey\HControl.exe
    3916 C:\Program Files\ATK Hotkey\MsgTranAgt.exe
    3928 C:\Program Files\Wireless Console 2\wcourier.exe
    3940 C:\Program Files\ASUS\ASUS CopyProtect\ASPG.exe
    3968 C:\Program Files\P4G\BatteryLife.exe
    4016 C:\Program Files\ASUS\Splendid\ACMON.exe
    4040 ACEngSvr.exe
    4084 C:\Program Files\ATK Hotkey\HControlUser.exe
    4092 C:\Program Files\ATKOSD2\ATKOSD2.exe
    2148 C:\Windows\RtHDVCpl.exe
    1236 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    2312 C:\Program Files\ATK Hotkey\ATKOSD.exe
    1948 C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    1900 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    2616 C:\Program Files\Windows Sidebar\sidebar.exe
     864 C:\Program Files\ASUS\ATK Media\DMedia.exe
    2008 C:\Windows\VM303_STI.exe
    2608 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    2244 C:\Program Files\Common Files\Java\Java Update\jusched.exe
    2720 C:\Windows\ehome\ehtray.exe
    2644 C:\Program Files\ATK Hotkey\KBFiltr.exe
    2396 C:\Program Files\ATK Hotkey\WDC.exe
    3108 C:\Program Files\Windows Media Player\wmpnscfg.exe
    3292 C:\Windows\ehome\ehmsas.exe
    3336 C:\Program Files\Windows Media Player\wmpnetwk.exe
    3852 C:\Program Files\Internet Explorer\iexplore.exe
    3472 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    3488 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    2392 C:\Windows\System32\wuauclt.exe
    2620 C:\Windows\System32\SearchProtocolHost.exe
     756 C:\Windows\System32\SearchFilterHost.exe
    3356 C:\Users\Johannes\Desktop\MBRCheck.exe
     432 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`71200000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000027`b4100000  (NTFS)

PhysicalDrive0 Model Number: ST9320320AS, Rev: 0303    

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 16FACB29D75458833E397367B1DA17929157C2B3


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
         

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Vista installiert?
Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.