Trojaner-Board - zwei Fehlermeldungen RUNDLL

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - zwei Fehlermeldungen RUNDLL (https://www.trojaner-board.de/92282-zwei-fehlermeldungen-rundll.html)

Combofix Logfile:

Code:

ComboFix 10-11-09.02 - Administrator 10.11.2010  13:57:33.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2813.2396 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\chrome.manifest

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\chrome\content\_cfg.js

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\chrome\content\overlay.xul

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\install.rdf

c:\dokumente und einstellungen\rob\odp-3.1-bin-windows-en-US.exe

c:\dokumente und einstellungen\rob\OOo_3.2.0_Win32Intel_install_wJRE_de.exe

c:\windows\system32\eventmgr.exe

D:\AUTORUN.INF
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-10 bis 2010-11-10  ))))))))))))))))))))))))))))))

.
 

2010-11-09 16:48 . 2010-11-09 16:48        --------        d-----w-        C:\_OTL

2010-11-06 12:48 . 2010-11-06 12:48        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\World in Conflict

2010-11-05 13:49 . 2010-11-05 13:49        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2010-11-05 13:49 . 2010-04-29 11:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-05 13:49 . 2010-11-05 13:49        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-11-05 13:49 . 2010-11-05 13:49        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-11-05 13:49 . 2010-04-29 11:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-28 12:45 . 2010-11-07 15:43        --------        d-----w-        c:\windows\system32\de

2010-10-28 12:45 . 2010-11-07 15:43        --------        d-----w-        c:\windows\system32\bits

2010-10-27 16:46 . 2004-08-04 08:00        221184        ----a-w-        c:\windows\system32\wmpns.dll

2010-10-27 16:08 . 2010-11-07 15:43        --------        d-----w-        c:\windows\system32\de-de

2010-10-27 16:08 . 2010-11-07 15:42        --------        d-----w-        c:\windows\l2schemas

2010-10-27 16:01 . 2009-06-26 16:16        1056256        ----a-w-        c:\windows\system32\dllcache\danim.dll

2010-10-17 18:10 . 2010-10-17 18:14        --------        d-----w-        c:\dokumente und einstellungen\rob\bilder
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]

2007-05-15 14:08        112640        ----a-w-        c:\windows\system32\ackpbsc.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]

2007-05-15 14:08        281088        ----a-w-        c:\programme\ActivIdentity\ActivClient\acunlock.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk

backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

backup=c:\windows\pss\BTTray.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office PowerPoint Viewer 2003.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office PowerPoint Viewer 2003.lnk

backup=c:\windows\pss\Microsoft Office PowerPoint Viewer 2003.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

backup=c:\windows\pss\VPN Client.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AccelerometerSysTrayApplet]

2008-06-09 06:10        82224        ----a-w-        c:\windows\system32\accelerometerST.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\accrdsub]

2007-05-15 14:08        293168        ----a-w-        c:\programme\ActivIdentity\ActivClient\accrdsub.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]

2008-05-14 09:36        61440        ----a-w-        c:\programme\Hewlett-Packard\Default Settings\Cpqset.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2004-08-04 08:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

2007-04-03 22:29        165784        ----a-w-        c:\programme\DAEMON Tools\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]

2008-04-15 12:51        488752        ----a-w-        c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsmqIntCert]

2009-06-25 18:34        177152        ----a-w-        c:\windows\system32\mqrt.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl.exe]

2008-05-14 09:26        177456        ----a-w-        c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]

2008-03-24 11:43        884736        ----a-w-        c:\programme\Analog Devices\SoundMAX\SMax4.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

2008-04-04 15:09        1044480        ----a-w-        c:\programme\Analog Devices\Core\smax4pnp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

2008-01-21 10:17        61440        ----a-w-        c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

2008-03-27 18:28        1040384        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]

2004-08-27 17:22        90112        ------w-        c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\mqsvc.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\WINDOWS\\system32\\mstsc.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4980:TCP"= 4980:TCP:lwekhod
 

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [19.07.2008 08:48 174600]

R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\drivers\Amddfltr.sys [19.07.2008 00:12 15416]

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28.03.2008 11:14 24064]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.04.2010 19:10 682232]

R2 accoca;ActivClient Middleware Service;c:\programme\ActivIdentity\ActivClient\accoca.exe [15.05.2007 15:08 182576]

S3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [19.07.2008 01:11 193840]

S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.02.2010 01:38 135664]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

zqkhwhx

.

Inhalt des "geplante Tasks" Ordners
 

2010-11-07 c:\windows\Tasks\$~$Sys0$.job

- c:\windows\System32\SchedSvc.dll [2004-08-04 08:00]
 

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb73ba64d66505.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-27 00:38]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\g9z6j3i7.default\

FF - prefs.js: browser.startup.homepage - hxxp://ixquick.com/deu?th=night

FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-dimsntfy - (no file)

MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe

MSConfigStartUp-Fqukipe - c:\windows\ejesovomado.dll

MSConfigStartUp-Lboqovito - c:\windows\ms3dbv.dll

MSConfigStartUp-VeohPlugin - c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
 
 
 

**************************************************************************

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1404)

c:\windows\system32\ackpbsc.dll

c:\windows\system32\aclog.dll

c:\windows\system32\ACLIBEAY.dll

c:\windows\system32\acevtsub.dll

c:\windows\system32\asphat32.dll

c:\windows\system32\acerrmes.dll

c:\windows\system32\aspcom.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll

c:\windows\system32\msi.dll

c:\windows\system32\Ati2evxx.dll

c:\programme\ActivIdentity\ActivClient\acunlock.dll

c:\windows\system32\aipingui.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll

c:\programme\ActivIdentity\ActivClient\resources\acCobAPIrc.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
 

- - - - - - - > 'explorer.exe'(6508)

c:\windows\system32\msi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\programme\ActivIdentity\ActivClient\acevents.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\System32\SCardSvr.exe

c:\windows\system32\msdtc.exe

c:\windows\system32\agrsmsvc.exe

c:\programme\Cisco Systems\VPN Client\cvpnd.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe

c:\windows\system32\mqsvc.exe

c:\windows\system32\mqtgsvc.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-11-10  14:13:33 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-11-10 13:13
 

Vor Suchlauf: 16 Verzeichnis(se), 103.581.868.032 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 103.235.350.528 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
 

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - 58FDF7F4E1C6AED29010667E08A895ED

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4980:TCP"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Combofix Logfile:

Code:

ComboFix 10-11-09.02 - Administrator 10.11.2010  16:28:41.2.2 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2813.2281 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-10-10 bis 2010-11-10  ))))))))))))))))))))))))))))))

.
 

2010-11-10 13:12 . 2010-11-10 13:12        --------        d-----w-        c:\windows\LastGood

2010-11-10 12:53 . 2010-11-10 13:13        --------        d-----w-        C:\cofi

2010-11-09 16:48 . 2010-11-09 16:48        --------        d-----w-        C:\_OTL

2010-11-06 12:48 . 2010-11-06 12:48        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\World in Conflict

2010-11-05 13:49 . 2010-11-05 13:49        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2010-11-05 13:49 . 2010-04-29 11:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-05 13:49 . 2010-11-05 13:49        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-11-05 13:49 . 2010-11-05 13:49        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-11-05 13:49 . 2010-04-29 11:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-28 12:45 . 2010-11-07 15:43        --------        d-----w-        c:\windows\system32\de

2010-10-28 12:45 . 2010-11-07 15:43        --------        d-----w-        c:\windows\system32\bits

2010-10-27 16:46 . 2004-08-04 08:00        221184        ----a-w-        c:\windows\system32\wmpns.dll

2010-10-27 16:08 . 2010-11-07 15:43        --------        d-----w-        c:\windows\system32\de-de

2010-10-27 16:08 . 2010-11-07 15:42        --------        d-----w-        c:\windows\l2schemas

2010-10-27 16:01 . 2009-06-26 16:16        1056256        ----a-w-        c:\windows\system32\dllcache\danim.dll

2010-10-17 18:10 . 2010-10-17 18:14        --------        d-----w-        c:\dokumente und einstellungen\rob\bilder
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

.
 

(((((((((((((((((((((((((((((   SnapShot@2010-11-10_13.08.50   )))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]

2007-05-15 14:08        112640        ----a-w-        c:\windows\system32\ackpbsc.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]

2007-05-15 14:08        281088        ----a-w-        c:\programme\ActivIdentity\ActivClient\acunlock.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk

backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

backup=c:\windows\pss\BTTray.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office PowerPoint Viewer 2003.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office PowerPoint Viewer 2003.lnk

backup=c:\windows\pss\Microsoft Office PowerPoint Viewer 2003.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

backup=c:\windows\pss\VPN Client.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AccelerometerSysTrayApplet]

2008-06-09 06:10        82224        ----a-w-        c:\windows\system32\accelerometerST.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\accrdsub]

2007-05-15 14:08        293168        ----a-w-        c:\programme\ActivIdentity\ActivClient\accrdsub.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]

2008-05-14 09:36        61440        ----a-w-        c:\programme\Hewlett-Packard\Default Settings\Cpqset.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2004-08-04 08:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

2007-04-03 22:29        165784        ----a-w-        c:\programme\DAEMON Tools\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]

2008-04-15 12:51        488752        ----a-w-        c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsmqIntCert]

2009-06-25 18:34        177152        ----a-w-        c:\windows\system32\mqrt.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl.exe]

2008-05-14 09:26        177456        ----a-w-        c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]

2008-03-24 11:43        884736        ----a-w-        c:\programme\Analog Devices\SoundMAX\SMax4.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

2008-04-04 15:09        1044480        ----a-w-        c:\programme\Analog Devices\Core\smax4pnp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

2008-01-21 10:17        61440        ----a-w-        c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

2008-03-27 18:28        1040384        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]

2004-08-27 17:22        90112        ------w-        c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\mqsvc.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\WINDOWS\\system32\\mstsc.exe"=
 

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [19.07.2008 08:48 174600]

R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\drivers\Amddfltr.sys [19.07.2008 00:12 15416]

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28.03.2008 11:14 24064]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.04.2010 19:10 682232]

R2 accoca;ActivClient Middleware Service;c:\programme\ActivIdentity\ActivClient\accoca.exe [15.05.2007 15:08 182576]

S3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [19.07.2008 01:11 193840]

S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.02.2010 01:38 135664]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

zqkhwhx

.

Inhalt des "geplante Tasks" Ordners
 

2010-11-07 c:\windows\Tasks\$~$Sys0$.job

- c:\windows\System32\SchedSvc.dll [2004-08-04 08:00]
 

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb73ba64d66505.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-27 00:38]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\g9z6j3i7.default\

FF - prefs.js: browser.startup.homepage - hxxp://ixquick.com/deu?th=night

FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-11-10 16:32

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1404)

c:\windows\system32\ackpbsc.dll

c:\windows\system32\aclog.dll

c:\windows\system32\ACLIBEAY.dll

c:\windows\system32\acevtsub.dll

c:\windows\system32\asphat32.dll

c:\windows\system32\acerrmes.dll

c:\windows\system32\aspcom.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll

c:\windows\system32\msi.dll

c:\windows\system32\Ati2evxx.dll

c:\programme\ActivIdentity\ActivClient\acunlock.dll

c:\windows\system32\aipingui.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll

c:\programme\ActivIdentity\ActivClient\resources\acCobAPIrc.dll

c:\programme\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
 

- - - - - - - > 'explorer.exe'(16628)

c:\windows\system32\msi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2010-11-10  16:34:17

ComboFix-quarantined-files.txt  2010-11-10 15:34

ComboFix2.txt  2010-11-10 13:13
 

Vor Suchlauf: 20 Verzeichnis(se), 103.206.191.104 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 103.192.723.456 Bytes frei
 

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - 3DD03E427F1F3173D69DDAE3C1B08AC2

--- --- ---

--------------------------------------------------------------------

das ist die log-datei, die automatisch geöffnet wurde. hoffe, es ist das, was du meintest.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER
GMER Logfile:

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit scan 2010-11-10 22:53:04

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\ahcix861Port0Path0Target0Lun0 Hitachi_ rev.FBEO

Running: kiu0e3om.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pxtdrpow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            sptd.sys                                                                                                                       ZwCreateKey [0xF729F0D0]

SSDT            sptd.sys                                                                                                                       ZwEnumerateKey [0xF72A4E2C]

SSDT            sptd.sys                                                                                                                       ZwEnumerateValueKey [0xF72A51BA]

SSDT            sptd.sys                                                                                                                       ZwOpenKey [0xF729F0B0]

SSDT            sptd.sys                                                                                                                       ZwQueryKey [0xF72A5292]

SSDT            sptd.sys                                                                                                                       ZwQueryValueKey [0xF72A5112]

SSDT            sptd.sys                                                                                                                       ZwSetValueKey [0xF72A5324]
 

Code            \??\C:\cofi\catchme.sys                                                                                                        pIofCallDriver
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               C:\WINDOWS\system32\drivers\sptd.sys                                                                                           Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                       section is writeable [0xAA3D8000, 0x18A386, 0xE8000020]

.text           USBPORT.SYS!DllUnload                                                                                                          AA210934 5 Bytes  JMP 8ACB1780 

?               System32\Drivers\arp2f8r9.SYS                                                                                                  Das System kann den angegebenen Pfad nicht finden. !

?               C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mbr.sys                                                                                     Das System kann die angegebene Datei nicht finden. !

?               C:\cofi\catchme.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !

?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                                     Das System kann die angegebene Datei nicht finden. !
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                             [F729FAD4] sptd.sys

IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                                     [F729FC1A] sptd.sys

IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                            [F729FB9C] sptd.sys

IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                                    [F72A0748] sptd.sys

IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                            [F72A061E] sptd.sys

IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                             [F72B4ACA] sptd.sys
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[296] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00D32BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[296] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00D32CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[296] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00D32CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                                                                                                         8ADF01E8

Device          \FileSystem\Fastfat \FatCdrom                                                                                                  8ACF21E8
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                        SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

Device          \Driver\usbohci \Device\USBPDO-0                                                                                               8AD0F7A0

Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                                      8ADF21E8

Device          \Driver\dmio \Device\DmControl\DmConfig                                                                                        8ADF21E8

Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                           8ADF21E8

Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                          8ADF21E8

Device          \Driver\usbohci \Device\USBPDO-1                                                                                               8AD0F7A0

Device          \Driver\usbohci \Device\USBPDO-2                                                                                               8AD0F7A0

Device          \Driver\usbehci \Device\USBPDO-3                                                                                               8AC707A0

Device          \Driver\usbohci \Device\USBPDO-4                                                                                               8AD0F7A0

Device          \Driver\usbohci \Device\USBPDO-5                                                                                               8AD0F7A0

Device          \Driver\usbehci \Device\USBPDO-6                                                                                               8AC707A0

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                                         8AD811E8

Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                                         8AD811E8

Device          \Driver\Cdrom \Device\CdRom0                                                                                                   8A6F01E8

Device          \Driver\Cdrom \Device\CdRom1                                                                                                   8A6F01E8

Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                                        86D881E8

Device          \Driver\NetBT \Device\NetbiosSmb                                                                                               86D881E8

Device          \Driver\PCI_NTPNP3882 \Device\0000005e                                                                                         sptd.sys

Device          \Driver\NetBT \Device\NetBT_Tcpip_{516CF615-4E1C-423A-81E0-A80375A33C5D}                                                       86D881E8

Device          \Driver\usbohci \Device\USBFDO-0                                                                                               8AD0F7A0

Device          \Driver\usbohci \Device\USBFDO-1                                                                                               8AD0F7A0

Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                              86D811E8

Device          \Driver\usbehci \Device\USBFDO-2                                                                                               8AC707A0

Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                    86D811E8

Device          \Driver\usbohci \Device\USBFDO-3                                                                                               8AD0F7A0

Device          \Driver\usbohci \Device\USBFDO-4                                                                                               8AD0F7A0

Device          \Driver\Ftdisk \Device\FtControl                                                                                               8AD811E8

Device          \Driver\usbehci \Device\USBFDO-5                                                                                               8AC707A0

Device          \Driver\usbohci \Device\USBFDO-6                                                                                               8AD0F7A0

Device          \Driver\ahcix86 \Device\Scsi\ahcix861                                                                                          8ADF11E8

Device          \Driver\arp2f8r9 \Device\Scsi\arp2f8r91                                                                                        8ACB07A0

Device          \Driver\arp2f8r9 \Device\Scsi\arp2f8r91Port1Path0Target0Lun0                                                                   8ACB07A0

Device          \Driver\ahcix86 \Device\Scsi\ahcix861Port0Path0TargetaLun0                                                                     8ADF11E8

Device          \Driver\ahcix86 \Device\Scsi\ahcix861Port0Path0Target5Lun0                                                                     8ADF11E8

Device          \Driver\ahcix86 \Device\Scsi\ahcix861Port0Path0Target0Lun0                                                                     8ADF11E8

Device          \FileSystem\Fastfat \Fat                                                                                                       8ACF21E8

Device          \FileSystem\Cdfs \Cdfs                                                                                                         86D7D1E8
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                             771343423

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                             285507792

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                             1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                               

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                            C:\Programme\DAEMON Tools\

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                            0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                         0xAD 0x79 0x13 0x49 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                   0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                0xD7 0xB0 0xD5 0x63 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                          0xFB 0x55 0x0C 0x57 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                           

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                C:\Programme\DAEMON Tools\

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                0

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                             0xAD 0x79 0x13 0x49 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                       0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                    0xD7 0xB0 0xD5 0x63 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)            

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                              0xFB 0x55 0x0C 0x57 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@DisplayName                                                                         Support Windows

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@Type                                                                                32

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@Start                                                                               2

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@ErrorControl                                                                        0

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@ImagePath                                                                           %SystemRoot%\system32\svchost.exe -k netsvcs

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@ObjectName                                                                          LocalSystem

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@Description                                                                         Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen k?nnen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx\Parameters (not active ControlSet)                                                  

Reg             HKLM\SYSTEM\ControlSet002\Services\zqkhwhx\Parameters@ServiceDll                                                               C:\WINDOWS\system32\bhmwgaj.dll

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                           

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                C:\Programme\DAEMON Tools\

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                0

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                             0xAD 0x79 0x13 0x49 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                       0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                    0xD7 0xB0 0xD5 0x63 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)            

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                              0xFB 0x55 0x0C 0x57 ...

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                           

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                C:\Programme\DAEMON Tools\

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                0

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                             0xAD 0x79 0x13 0x49 ...

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                       0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                    0xD7 0xB0 0xD5 0x63 ...

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)            

Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                              0xFB 0x55 0x0C 0x57 ...
 

---- EOF - GMER 1.0.15 ----

--- --- ---

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 18:20:05 on 11.11.2010
 

OS: Windows XP Professional Service Pack 2 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.6.12
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"GoogleUpdateTaskMachineCore1cb73ba64d66505.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"accelerometercp.CPL" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.CPL

"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"HP 3D DriveGuard" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.CPL

"HPWACpl" - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Wireless Assistant\WACntlPnl.cpl

"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL

"QlbConfig" - " Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbConfg.cpl

"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"accmnvx5" (accmnvx5) - ? - C:\WINDOWS\system32\drivers\accmnvx5.sys  (Hidden registry entry, rootkit activity | File not found)

"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys

"cpuz132" (cpuz132) - ? - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cpuz132\cpuz132_x32.sys  (File not found)

"Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)

"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)

"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{FCF608CF-5716-47C3-A1A8-991D873AF72B} "Delphi Context Menu Shell Extension Example" - ? - C:\Programme\Exifer\exifershellext.dll  (File found, but it contains no detailed information)

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL

{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - c:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10d.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll

"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"ActivClient Middleware Service" (accoca) - "ActivIdentity" - c:\Programme\ActivIdentity\ActivClient\accoca.exe

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

"Cisco Systems, Inc. Installer service" (CiscoVpnInstallService) - ? - C:\PROGRA~1\CISCOS~1\VPN\INSTAL~1.EXE  (File not found)

"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

"Com4QLBEx" (Com4QLBEx) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

"hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE

"Net.Tcp Port Sharing Service" (NetTcpPortSharing) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"ackpbsc" - "ActivIdentity" - c:\WINDOWS\system32\ackpbsc.dll

"acunlock" - "ActivIdentity" - c:\Programme\ActivIdentity\ActivClient\acunlock.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

--------------------
ich hoffe, das ist das richtige. habe die anleitung gelesen, aber bei mir konnte ich bei der online datenbank nur noch "close" anklicken..

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 148):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF729E000 sptd.sys
0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF7286000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF7257000 ACPI.sys
0xF7246000 pci.sys
0xF7487000 ohci1394.sys
0xF7497000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF74A7000 isapnp.sys
0xF789B000 compbatt.sys
0xF789F000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF798B000 intelide.sys
0xF798D000 viaide.sys
0xF798F000 aliide.sys
0xF7228000 pcmcia.sys
0xF74B7000 MountMgr.sys
0xF7209000 ftdisk.sys
0xF7991000 dmload.sys
0xF71E3000 dmio.sys
0xF78A3000 ACPIEC.sys
0xF7A50000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF770F000 PartMgr.sys
0xF74C7000 VolSnap.sys
0xF71CB000 atapi.sys
0xF718A000 ahcix86.sys
0xF74D7000 disk.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF716B000 fltMgr.sys
0xF7159000 sr.sys
0xF74F7000 PxHelp20.sys
0xF7142000 KSecDD.sys
0xF712F000 WudfPf.sys
0xF70A2000 Ntfs.sys
0xF7075000 NDIS.sys
0xF7507000 sfaudio.sys
0xF705A000 Mup.sys
0xF7717000 hpdskflt.sys
0xF771F000 Amddfltr.sys
0xF7537000 \SystemRoot\system32\DRIVERS\AmdPPM.sys
0xAA3D7000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xAA3C3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xAA37A000 \SystemRoot\system32\DRIVERS\yk51x86.sys
0xAA23F000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7607000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7617000 \SystemRoot\system32\DRIVERS\redbook.sys
0xAA21C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7837000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xAA1F8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7867000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xAA1D3000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7627000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF775F000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0xF7637000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xAA158000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
0xF786F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xAA121000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF79A7000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7757000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xAA093000 \SystemRoot\System32\Drivers\accmnvx5.SYS
0xF77EF000 \SystemRoot\system32\DRIVERS\Accelerometer.sys
0xF7002000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF6FFA000 \SystemRoot\system32\DRIVERS\cpqbttn.sys
0xF7647000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF780F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF6FF2000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xA9FC2000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xA9FA3000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF7ABE000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7657000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF795B000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xA9F8C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7667000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7677000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF77DF000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xA9EDB000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7687000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7817000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7827000 \SystemRoot\system32\DRIVERS\raspti.sys
0xA9EAA000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7697000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF79B1000 \SystemRoot\system32\DRIVERS\swenum.sys
0xA9E29000 \SystemRoot\system32\DRIVERS\update.sys
0xAA105000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7967000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF778F000 \SystemRoot\system32\DRIVERS\btport.sys
0xF76A7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF76D7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x99C8A000 \SystemRoot\system32\drivers\ADIHdAud.sys
0x99C66000 \SystemRoot\system32\drivers\portcls.sys
0xF76E7000 \SystemRoot\system32\drivers\drmk.sys
0x99C4E000 \SystemRoot\system32\drivers\AEAudio.sys
0x99B28000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xF77CF000 \SystemRoot\System32\Drivers\Modem.SYS
0xF79BD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B14000 \SystemRoot\System32\Drivers\Null.SYS
0xF79C1000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7807000 \SystemRoot\System32\drivers\vga.sys
0x99927000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xF77E7000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xF79C5000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79C9000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF77FF000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF782F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA9E8A000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x99914000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x998BC000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x9986C000 \SystemRoot\system32\DRIVERS\netbt.sys
0x9984B000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7547000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x99829000 \SystemRoot\System32\drivers\afd.sys
0xF7557000 \SystemRoot\system32\DRIVERS\netbios.sys
0x9975E000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x996EF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7577000 \SystemRoot\System32\Drivers\Fips.SYS
0x996CC000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x998B4000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0x9968B000 \SystemRoot\System32\Drivers\dump_ahcix86.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xA9E25000 \SystemRoot\System32\drivers\Dxapi.sys
0xF77A7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BDB000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF05F000 \SystemRoot\System32\ati2cqag.dll
0xBF0DE000 \SystemRoot\System32\atikvmag.dll
0xBF14E000 \SystemRoot\System32\atiok3x2.dll
0xBF17C000 \SystemRoot\System32\ati3duag.dll
0xBF484000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0x96E52000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x96B65000 \SystemRoot\system32\drivers\wdmaud.sys
0x96CDA000 \SystemRoot\system32\drivers\sysaudio.sys
0x96C8A000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x969FB000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x9687B000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0x96864000 \??\C:\WINDOWS\system32\drivers\mqac.sys
0x9674A000 \SystemRoot\system32\DRIVERS\srv.sys
0x966A0000 \??\C:\WINDOWS\system32\drivers\RMCast.sys
0x962EF000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \Programme\DAEMON Tools\daemon.dll

Processes (total 35):
0 System Idle Process
4 System
1316 C:\WINDOWS\system32\smss.exe
1364 csrss.exe
1404 C:\WINDOWS\system32\winlogon.exe
1448 C:\WINDOWS\system32\services.exe
1460 C:\WINDOWS\system32\lsass.exe
1608 C:\WINDOWS\system32\ati2evxx.exe
1640 C:\WINDOWS\system32\svchost.exe
1772 svchost.exe
1828 C:\WINDOWS\system32\svchost.exe
1876 C:\WINDOWS\system32\svchost.exe
2016 svchost.exe
192 svchost.exe
252 acevents.exe
492 C:\WINDOWS\system32\ati2evxx.exe
752 C:\WINDOWS\system32\spoolsv.exe
820 scardsvr.exe
1020 C:\WINDOWS\explorer.exe
616 svchost.exe
620 msdtc.exe
840 C:\Programme\ActivIdentity\ActivClient\accoca.exe
844 C:\WINDOWS\system32\agrsmsvc.exe
908 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
992 C:\Programme\Java\jre6\bin\jqs.exe
1052 C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
1680 C:\WINDOWS\system32\svchost.exe
1664 C:\WINDOWS\system32\mqsvc.exe
1240 C:\WINDOWS\system32\mqtgsvc.exe
2100 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2440 C:\WINDOWS\system32\wscntfy.exe
2608 alg.exe
3792 C:\WINDOWS\system32\svchost.exe
3400 C:\Programme\Mozilla Firefox\firefox.exe
2572 C:\Dokumente und Einstellungen\Administrator\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000039`f8517c00 (FAT32)

PhysicalDrive0 Model Number: HitachiHTS543225L9A3, Rev: FBEO

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 RE: Unknown MBR code
SHA1: BBF289AC40BA09F2CC1797655D4799D2AB148CB5

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry keys to delete:

HKLM\SYSTEM\ControlSet002\Services\zqkhwhx
 

files to delete:

C:\WINDOWS\system32\bhmwgaj.dll

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet002\Services\zqkhwhx" deleted successfully.

Error: file "C:\WINDOWS\system32\bhmwgaj.dll" not found!
Deletion of file "C:\WINDOWS\system32\bhmwgaj.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

hxxp://www.file-upload.net/download-2965250/backup.zip.html

Nun müssen wir wohl noch den MBR fixen. Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet.

Führe im normalen Windowsmodus mbrcheck und gmer nochmals aus und poste die neuen Logs.

ich habe nur xp installiert.

jetzt habe ich schon mehrfach versucht, die befehle in die wiederherstellungskonsole einzugeben. allerdings bleibt der bildschirm nach dem auswählen der konsole einfach schwarz, bis auf einen kleinen weißen strich links oben und ich kann auch nichts eintippen - nicht mal excape funktioniert.
oder dauert es noch länger als ca. 20min, bis die wiederherstellungskonsole funktionionsfähig ist?

Nee eigentlich nicht :(
Hast Du eine WinXP zur Hand?

eine CD oder was meinst du?
habe ich leider gerade nicht.

vielleicht habe ich das auch falsch gemacht? beim hochfahren kommt dieses bootmenü für 2 sek., in dem man zwischen xp und der konsole wählen kann. da habe ich das ausgewählt. richtig?

Ja die Wiederherstellungskonsole musst du auswählen, richtig. Aber die lädt ja nicht :stirn:
Mit einer XP-CD meine ich eine ganz normale Windows-XP-Installations-CD. Kein Recovery-Gedöns. Notfalls sowas leihen von einem Bekannten oder so.