Desktop Icons unsichtbar, Festplattenfehlermeldung, Mehrere Trojaner

MojoRunnin · 08.05.2011, 08:38

Moin Arne,

alle erledigt. Hier die Logs nach dem Fixing:

GMER:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15627 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-08 09:38:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 ST3250824AS rev.3.AAE
Running: 759glerw.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\ugtdqpob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwAdjustPrivilegesToken [0xB5783224]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwClose [0xB57837F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwConnectPort [0xB5785234]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwCreateFile [0xB5784BE6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwCreateKey [0xB578299A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwCreateSymbolicLinkObject [0xB5786BC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwCreateThread [0xB57835F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwDeleteKey [0xB5782DDC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwDeleteValueKey [0xB5782FDC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwDeviceIoControlFile [0xB5784EF6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwDuplicateObject [0xB57870CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwEnumerateKey [0xB57830F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwEnumerateValueKey [0xB578315A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwFsControlFile [0xB5784DA8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwLoadDriver [0xB578666A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwOpenFile [0xB5784A42]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwOpenKey [0xB5782AFC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwOpenProcess [0xB57833FC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwOpenSection [0xB5786BF0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwOpenThread [0xB5783348]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwQueryKey [0xB57831C2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwQueryMultipleValueKey [0xB5782EC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwQueryValueKey [0xB5782CA4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwQueueApcThread [0xB57868D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwReplaceKey [0xB578261C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwRequestWaitReplyPort [0xB5785ABE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwRestoreKey [0xB578277E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwResumeThread [0xB5786FA0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSaveKey [0xB578241A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSecureConnectPort [0xB57850D6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSetContextThread [0xB57836F6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSetSecurityObject [0xB5786764]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSetSystemInformation [0xB5786C1A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSetValueKey [0xB5782B52]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSuspendProcess [0xB5786CFE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSuspendThread [0xB5786E2A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwSystemDebugControl [0xB5786596]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwTerminateProcess [0xB57834C8]
SSDT            \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                                     ZwUnloadKey [0xB296B6D0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 ZwWriteVirtualMemory [0xB578353A]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                                 IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                                            804EAF84 5 Bytes  JMP B579A874 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                                               804EF912 5 Bytes  JMP B579AC2E \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 2FD8                                                                                80504874 12 Bytes  [FE, 6C, 78, B5, 2A, 6E, 78, ...]
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                            section is writeable [0xB8201360, 0x20469D, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0xB3BBE300, 0x3ACC8, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0xBA418300, 0x1B7E, 0xE8000020]
?               C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                                         Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[3764] kernel32.dll!WriteFile                                                  7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                                             [B992FDA0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                                             [B992FDA0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x71 0x3B 0x04 0x66 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x7A 0x45 0x05 0xFD ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x3E 0x1E 0x9E 0xE0 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xF5 0x1D 0x4D 0x73 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xDF 0x20 0x58 0x62 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x01 0x3A 0x48 0xFC ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0xF6 0x0F 0x4E 0x58 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0x3D 0xCE 0xEA 0x26 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0x2A 0xB7 0xCC 0xB5 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.15 ----

--- --- ---

MBR Check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000003fc

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F30000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9F10000 fltmgr.sys
0xB9EFE000 sr.sys
0xBA0F8000 klbg.sys
0xBA108000 PxHelp20.sys
0xB9EE7000 KSecDD.sys
0xB9E5A000 Ntfs.sys
0xB9E2D000 NDIS.sys
0xBA118000 ohci1394.sys
0xBA128000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xB9E13000 Mup.sys
0xB98F4000 kl1.sys
0xBA338000 \WINDOWS\system32\drivers\TDI.SYS
0xBA158000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB90CB000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB8201000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB81ED000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB81C5000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA448000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB81A1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB90BB000 \SystemRoot\system32\DRIVERS\klfltdev.sys
0xBA450000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB80D7000 \SystemRoot\system32\DRIVERS\3xHybrid.sys
0xB80B4000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA558000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0xBA458000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xB7FA8000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xBA460000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA468000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB90AB000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA564000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB7F94000 \SystemRoot\system32\DRIVERS\parport.sys
0xB909B000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB7F7B000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xBA470000 \SystemRoot\system32\drivers\ASAPIW2k.sys
0xB908B000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB907B000 \SystemRoot\system32\DRIVERS\redbook.sys
0xBA478000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xBA480000 \SystemRoot\system32\DRIVERS\klim5.sys
0xBA7A6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB906B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA578000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB7F64000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB905B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB904B000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA488000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA490000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB903B000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA498000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA4A0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA5F0000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB7F06000 \SystemRoot\system32\DRIVERS\update.sys
0xBA580000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB7ED8000 \SystemRoot\system32\DRIVERS\MarvinBus.sys
0xB8BFB000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB58B7000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB5893000 \SystemRoot\system32\drivers\portcls.sys
0xB8BEB000 \SystemRoot\system32\drivers\drmk.sys
0xB8BDB000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5F6000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB5774000 \SystemRoot\system32\DRIVERS\klif.sys
0xBA370000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xBA5FA000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB582F000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5FC000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA380000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA388000 \SystemRoot\System32\drivers\vga.sys
0xBA5FE000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA600000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA390000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA398000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA544000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB5741000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB8B9B000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB56C0000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB569A000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB5672000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB8B8B000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB5650000 \SystemRoot\System32\drivers\afd.sys
0xB8B7B000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB5625000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB558D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB8B6B000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA3A0000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xB586F000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA248000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB5569000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB5557000 \SystemRoot\system32\DRIVERS\cmiucr.SYS
0xB5867000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB551C000 \SystemRoot\system32\DRIVERS\rt2500usb.sys
0xBA3A8000 \SystemRoot\System32\Drivers\x10ufx2.sys
0xB5863000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB54DC000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA60A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB584B000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA3B8000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA6E8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF3D0000 \SystemRoot\System32\ATMFD.DLL
0xBA3D0000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xB5518000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB4156000 \SystemRoot\system32\drivers\wdmaud.sys
0xB4AFB000 \SystemRoot\system32\drivers\sysaudio.sys
0xBA5CC000 \SystemRoot\system32\drivers\splitter.sys
0xB40E0000 \SystemRoot\system32\drivers\kmixer.sys
0xB3EA6000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB3C51000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB3C96000 \SystemRoot\System32\drivers\aspi32.sys
0xB3BBE000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xB3009000 \SystemRoot\System32\Drivers\HTTP.sys
0xB2E99000 \SystemRoot\system32\DRIVERS\srv.sys
0xBA418000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xB4283000 \SystemRoot\system32\DRIVERS\secdrv.sys
0xB296B000 \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 55):
0 System Idle Process
4 System
672 C:\WINDOWS\system32\smss.exe
888 csrss.exe
912 C:\WINDOWS\system32\winlogon.exe
956 C:\WINDOWS\system32\services.exe
968 C:\WINDOWS\system32\lsass.exe
1132 C:\WINDOWS\system32\svchost.exe
1176 svchost.exe
1268 C:\WINDOWS\system32\svchost.exe
1432 svchost.exe
1756 C:\WINDOWS\system32\LEXBCES.EXE
1776 C:\WINDOWS\system32\spoolsv.exe
1800 C:\WINDOWS\system32\LEXPPS.EXE
236 C:\WINDOWS\explorer.exe
552 C:\Programme\Home Cinema\PowerCinema\PCMService.exe
580 C:\WINDOWS\system32\CmUCREye.exe
728 C:\Programme\Medion Info Display\MdionLCM.exe
736 C:\WINDOWS\mHotkey.exe
744 C:\WINDOWS\CNYHKey.exe
796 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
840 C:\WINDOWS\RTHDCPL.exe
852 C:\WINDOWS\ALCFDRTM.EXE
1164 C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
1244 C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
1336 C:\Programme\iTunes\iTunesHelper.exe
1344 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
1372 C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
1488 C:\Programme\DNA\btdna.exe
1504 C:\Programme\Windows Media Player\wmpnscfg.exe
1700 svchost.exe
1636 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
568 C:\Programme\Bonjour\mDNSResponder.exe
1228 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
1216 C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
2080 C:\WINDOWS\system32\svchost.exe
2132 C:\Programme\Java\jre6\bin\jqs.exe
2228 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
2292 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
2740 C:\Programme\Nero\Update\NASvc.exe
2780 C:\WINDOWS\system32\nvsvc32.exe
2892 C:\Programme\CyberLink\Shared Files\RichVideo.exe
3000 C:\WINDOWS\system32\svchost.exe
3632 C:\Programme\UPHClean\uphclean.exe
3764 C:\WINDOWS\system32\searchindexer.exe
3892 C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
3936 C:\WINDOWS\system32\wuauclt.exe
4072 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
596 wmpnetwk.exe
3616 C:\Programme\iPod\bin\iPodService.exe
3164 alg.exe
2200 wmiprvse.exe
4972 C:\WINDOWS\system32\msiexec.exe
5732 C:\WINDOWS\system32\wscntfy.exe
4120 C:\Dokumente und Einstellungen\Michael\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001d`1a8eb800 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000038`82bd0600 (FAT32)

PhysicalDrive0 Model Number: ST3250824AS, Rev: 3.AAE

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

Viele Grüße,
Mike

cosinus · 08.05.2011, 13:45

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

MojoRunnin · 15.05.2011, 01:36

Hi Arne,

sorry, die Woche war zu voll. Aber hier nun endlich die logs:

Anti-Malware:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6580

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.05.2011 02:34:41
mbam-log-2011-05-15 (02-34-41).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155136
Laufzeit: 3 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Und:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 05/14/2011 at 10:56 PM

Application Version : 4.52.1000

Core Rules Database Version : 7058
Trace Rules Database Version: 4870

Scan type : Complete Scan
Total Scan Time : 01:54:52

Memory items scanned : 561
Memory threats detected : 0
Registry items scanned : 8936
Registry threats detected : 0
File items scanned : 133503
File threats detected : 7

Adware.Tracking Cookie
Free web counter generator [ C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\F4C4WUQG ]

Trojan.Agent/Gen
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1094\A0113816.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1108\A0117400.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1108\A0117401.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1108\A0117402.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1108\A0117406.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1108\A0117407.DLL

Ich habe versehentlich die schädlichen Dateien schon von Antispyware entfernen lassen.
Muss ich hier etwas rückgängig machen?

Viele Grüße,
Mike

cosinus · 15.05.2011, 11:37

Nö, das sind nur Überreste in der Systemwiederherstellung und ein Flashcookies.
Noch Probleme oder ist nun alles ok?

Zitat:

Art des Suchlaufs: Quick-Scan

Du solltest eigentlich einen Vollscan machen...

MojoRunnin · 15.05.2011, 12:41

Hi Arne,

es gibt keine grundlegenden Probleme mehr mit dem PC. Einige Programme sind nicht mehr über das Startmenü aufrufbar und andere sind dort verschwunden (z.B. unter Zubehör-Systemprogramme findet sich nicht mehr die Defragmentierung). Aber damit lässt sich leben!
Ich mache nochmal den Vollscan und melde mich dann nochmal.

Ich danke dir für Deine super Unterstützung. Ohne dich hätte ich das nicht hinbekommen. Danke!!!!!!!

LG
Mike

cosinus · 15.05.2011, 12:43

Mach bitte einmal einen Rechtsklick auf der Taskleiste, Eigenschaften
StartMenü und gehe sicher das unter Datenschutz beide Haken gesetzt sind.

Danach im Reiter Startmenü auf Anpassen klicken

Ganz unten unter Startmenügröße klicke auf Standardeinstellungen

Versuche bitte erneut irgend ein Program zu öffnen und sieh nach ob sich dieses nach dem schließen in der Liste befindet

MojoRunnin · 15.05.2011, 15:31

Hier noch das Log vom Vollscan:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6583

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.05.2011 14:51:13
mbam-log-2011-05-15 (14-51-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 284401
Laufzeit: 52 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die geöffneten Programme erscheinen in der Taskleiste.
Aber wie bekomme ich zum Beispiel die Systemprogramme wieder in den Ordner unter Zubehör. Da ist alles weg.

LG
Mike

cosinus · 15.05.2011, 15:38

Manche Varianten der Schädlinge verschieben Startmenüeinträge nach Temp, den haben wir aber blöderweise geleert, weil das erst seit kurzem bekannt ist.
Wenn du dir ein neues Benutzerkonto erstellst unter Windows und dich mit diesem einloggst, ist das Startmenü dann vollständig?

08.05.2011, 13:45	#17
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Desktop Icons unsichtbar, Festplattenfehlermeldung, Mehrere Trojaner Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ __________________

Desktop Icons unsichtbar, Festplattenfehlermeldung, Mehrere Trojaner

Plagegeister aller Art und deren Bekämpfung: Desktop Icons unsichtbar, Festplattenfehlermeldung, Mehrere Trojaner