Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop (https://www.trojaner-board.de/100344-tr-fakealert-ov-festplatte-angeblich-defekt-schwarzer-desktop.html)

Lummerland 14.06.2011 19:52
TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop
 
Hallo, habe ein Problem mit Windwos 7 auf Laptop meines Vaters, sonst wärs ja zu einfach.
Ich hoffe/befürchte dass ich mir Schadsoftware eingefangen habe, und nicht die Festplatte defekt ist.
Habe dieses Forum über Google gefunden und gesehen, das ich anscheinend nicht alleine mit einem solchen Problem bin.

Antivir hat beim surfen im Internet den "TR/Fakealert.ov" ausgespuckt, hab dann auf entfernen gedrückt. Die Meldung kam aber bald wieder. "Malware gefunden in der Datei C/ProgrammData/25943800.exe

Meldung Festplatte beschädigt erschein in einem Fenster "Das System hat ein Problem mit einem oder mehreren installierten IDE/SATA-Festplatten erkannt. Es wird empfohlen, das System neu zu starten.

Neustart ist keine Abhilfe. Laptop startet neu, bringt kritischen Fehler und startet Windows7 Resore/Diagnostics dies bringt 5 Critical errors:
-Hard drive doesn´t respond to system commands
-Boot sector of de hard drive disk is damaged
-Read time of hard drive clusters less than 500 ms
-Bad sectors on hard drive on damaged file allocation table
-34% of HDD space is unreadable

Der Desktop ist schwarz, kann Explorer öffnen, sagt aber, dass die Ordner leer sind.

Habe bereits "OTL.exe" runter geladen und von USB-Stick über Laptop laufen lassen.

Jetzt seit Ihr meine letzte Hoffnung. Bin ein eher unbedarfer Anwender und heil froh wenn alles läuft...was es jetzt grand nicht mehr tut :-(

Schon mal im Voraus vielen vielen Dank

cosinus 15.06.2011 11:05
Zitat:
"{6CF47FD1-3CF8-4206-BA24-A2B1E43D8CCA}" = IncrediMail
Müsst ihr als Mailclient unbedingt dieses sch... Programm verwenden? :(
Incredimail ist zwar bunt und nett animiert, aber leider als Spyware einzustufen, da es das Nutzerverhalten analysiert und diese an den Hersteller übermittelt.
Ich kann nur die sofortige Deinstallation und Umstieg auf einen anderen Mailclient wie zB Mozilla Thunderbird empfehlen.




Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
PRC - C:\ProgramData\25943800.exe ()
PRC - C:\ProgramData\ECXHYIMSihMUVK.exe (Microsoft Corporation)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [AdobeBridge]  File not found
O4 - HKCU..\Run: [Run]  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - Unable to obtain root file information for disk F:\
O33 - MountPoints2\{1a2e0eac-0c38-11df-ad1c-001f2998b61c}\Shell - "" = AutoRun
O33 - MountPoints2\{1a2e0eac-0c38-11df-ad1c-001f2998b61c}\Shell\AutoRun\command - "" = G:\RunGame.exe
[2011.06.14 12:00:24 | 000,000,238 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2011.06.13 15:39:23 | 000,000,392 | -H-- | M] () -- C:\ProgramData\25943800
[2011.06.13 15:36:50 | 000,000,128 | -H-- | M] () -- C:\ProgramData\~25943800r
[2011.06.13 15:36:50 | 000,000,112 | -H-- | M] () -- C:\ProgramData\~25943800
[2011.06.13 15:35:37 | 000,000,633 | -H-- | M] () -- C:\Users\Maxi\Desktop\Windows 7 Restore.lnk
[2011.06.13 15:35:30 | 000,379,904 | -H-- | M] () -- C:\ProgramData\25943800.exe
[2011.06.13 12:59:15 | 000,477,184 | -H-- | M] (Microsoft Corporation) -- C:\ProgramData\ECXHYIMSihMUVK.exe
:Files
C:\Program Files\Common Files\Spigot
C:\ProgramData\2*.exe
C:\ProgramData\~*.exe
C:\ProgramData\ECXHYIMSihMUVK.exe
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.



Stell uns bitte danach den Quarantäneordner von OTL zur Verfügung. Bitte dabei so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Lummerland 17.06.2011 16:28
Hallo,

schon mal großes Dankeschön,

bin den Anweisungen gefolgt und lade die erstellte Datei hoch.
Ist schon ein wenig besser geworden. Beim Starten bringt er nicht mehr das Diagnoseprogamm "Resore/Diagnostics" und auch bringt er keine Meldung wegen der "defekten Festplatte mehr.

Allerdings bringt er mir immer noch eine Meldung in einem Fenster: Data Already In Use The data required by Logitech Desktop Messenger is still engaged by user Maxi on MAXI-PC. Diese Meldung lässt sich nicht dauerhaft beenden, weder mit Exit noch mit Proceed here instead.

Der Desktop ist immer noch schwarz und wenn ich in Windwos Startmenü/ alle Programme aufrufe, dann sagt er "leer". Ebenso sind auf dem Laufwerk E zwar Daten drauf (zeigt zumindest an, das das Laufwerk nicht leer ist) aber nicht sichtbar.

Mit dem Incredimail rennst Du offene Türen ein, danke für den Hinweis (ist mir eigentlich zu lahm, hab für mich noch einen 9 Jahre alten PC, der mehr als auf dem Zahnfleisch dahergeht.) Werde mir das Mailprogramm im Anschluss vornehmen, aber bisher ist Incredimail bei meinem Vater gut gelaufen... und wer weiß wie ich das andere wieder hin bekomm...

Bitte um weitere Hilfe, damit Vater an seinen PC kann.

Schon mal vielen Dank

Gruß
Christine

Lummerland 17.06.2011 16:39
Jetzt hoff ich dass die Datei auch dabei ist

Gruß

cosinus 19.06.2011 21:34
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Lummerland 20.06.2011 19:35
Hallo,

Danke für die große Hilfe. Bin schon recht glücklich (und mein Vater erst, da der PC soweit wieder läuft), die Frage ist nur ob der PC jetzt soch ungezieferfrei ist.

Hab den TDSSKiller runter geladen, auf Desktop gespeichert, aber es lässt sich nicht ausführen (auch nicht mit rechter Maustaste und als Admin ausführen.)

Habe das Wochenende den AntiVir eine Systemprüfung machen lassen: hat 44 Funde gemeldet. Bin dann auf entfernen gegangen; hat dann 42 davon löschen können. Die Unhide.exe hab ich ebenfalls am Wochenende ausgeführt (hab ich bei einem ähnlichen Problem gelesen...und Vater hat schon genervt...) allerdings hab ich nicht downgeloadet und auf desktop kopiert, sondern direkt ausgeführt. Hatte relativ guten erfolg (Die Daten kann ich wieder sehen und die Programme laufen auch wieder wie gewohnt, nur das Startmenue vom Windows sagt immer noch "leer" wenn ich von dort aus was starten möchte) Die unhide.exe kann ich nicht downloaden, sagt immer, das es nicht komplett runtergeladen wurde.

Bitte um Tipp was ich mit dem TDSSKiller anstellen kann damit der läuft (hab Win7)

Vielen vielen Dank

Gruß Christine

cosinus 20.06.2011 20:31
Dann dürfte da noch was sein. mach mal ein Log mit CF, den tdsskiller probieren wir danach nochmal (falls nötig)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lummerland 23.06.2011 10:19
Hallo, habe immer noch ein Problem.
Combofix runtergeladen auf Desctop kopiert und umbenannt; Antivier; Firewall und iExplorer ausgeschaltet.
Doppelklick auf confi.exe, dann startete ein DOS-Fenster darin stand, dass alles vorbereitet werde. dann erschien die Meldung, das "pev.cfxxe" nicht mehr funktioniert. Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist. Jetzt kann ich nur noch "Programm schließen" drücken.

Würde mich über weitere Hilfe freuen, oder soll alles mögliche runtersichern und dann den PC neu aufsetzten? Das möcht ich aber nicht unbedingt.

DANKE

Gruß

cosinus 23.06.2011 10:34
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal.

Lummerland 23.06.2011 22:09
Hallo,

hat geklappt. Allerdings hat CF mir den PC neugestartet. Beim Neustart hat sich Avira wieder eingeschaltet und gleich was gefunden unter "C/Users/Maxi/AppData/Local/...indes[1] htm "HTML/FakeAV.SS"
Dann hat auch gleich Windows gemeckert...

Hab PC runtergefahren und wieder neu gestartet. Jetzt war zwar die Verknüpfung zum IExplorer weg, aber es hat nichts mehr gemeckert.

Hier nun der Inhalt der Combofix.txt

Combofix Logfile:
Code:
ComboFix 11-06-23.01 - Maxi 23.06.2011  22:08:00.1.1 - x86
Microsoft Windows 7 Ultimate  6.1.7600.0.1252.49.1033.18.2039.1375 [GMT 2:00]
ausgeführt von:: c:\users\Maxi\Desktop\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\program files\Setup.exes
c:\users\Maxi\AppData\Local\Temp\IadHide4.dll
F:\Autorun.inf
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-05-23 bis 2011-06-23  ))))))))))))))))))))))))))))))
.
.
2011-06-23 09:00 . 2011-06-23 09:00        --------        d-----w-        C:\confi
2011-06-23 09:00 . 2011-06-23 20:03        --------        d-----w-        C:\32788R22FWJFW
2011-06-21 18:52 . 2011-06-07 15:55        7074640        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{BA23CE7A-C9CC-4AF9-AB77-5CD2B01A1E1D}\mpengine.dll
2011-06-17 21:30 . 2011-06-17 21:31        --------        d-----w-        c:\windows\system32\SPReview
2011-06-17 21:30 . 2011-06-17 21:30        --------        d-----w-        c:\windows\system32\EventProviders
2011-06-17 14:13 . 2011-06-17 14:13        --------        d-----w-        c:\program files\7-Zip
2011-06-17 13:54 . 2011-04-29 02:57        311296        ----a-w-        c:\windows\system32\drivers\srv.sys
2011-06-17 13:54 . 2011-04-29 02:57        309760        ----a-w-        c:\windows\system32\drivers\srv2.sys
2011-06-17 13:54 . 2011-04-29 02:57        114176        ----a-w-        c:\windows\system32\drivers\srvnet.sys
2011-06-17 13:54 . 2011-04-25 04:56        1286016        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2011-06-17 13:54 . 2011-04-25 02:35        338944        ----a-w-        c:\windows\system32\drivers\afd.sys
2011-06-17 13:54 . 2011-05-03 04:50        740864        ----a-w-        c:\windows\system32\inetcomm.dll
2011-06-17 13:54 . 2011-04-27 02:33        78336        ----a-w-        c:\windows\system32\drivers\dfsc.sys
2011-06-17 13:54 . 2010-12-18 05:31        571904        ----a-w-        c:\windows\system32\oleaut32.dll
2011-06-17 13:54 . 2011-01-17 05:38        161792        ----a-w-        c:\windows\system32\d3d10_1.dll
2011-06-17 13:53 . 2011-05-04 02:43        222720        ----a-w-        c:\windows\system32\drivers\mrxsmb10.sys
2011-06-17 13:53 . 2011-05-04 02:43        96256        ----a-w-        c:\windows\system32\drivers\mrxsmb20.sys
2011-06-17 13:53 . 2011-05-04 02:43        123392        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
2011-06-16 21:40 . 2011-06-17 14:23        --------        d-----w-        C:\_OTL
2011-06-16 21:33 . 2011-06-14 17:34        580608        ----a-w-        C:\OTL.exe
2011-06-16 21:02 . 2011-06-16 21:02        --------        d-----w-        c:\users\Maxi\AppData\Roaming\Avira
2011-06-15 18:37 . 2011-06-15 18:37        0        ----a-w-        c:\users\Maxi\AppData\Local\BITA4A9.tmp
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-24 17:14 . 2010-01-15 15:25        222080        ------w-        c:\windows\system32\MpSigStub.exe
2011-05-04 02:52 . 2010-10-14 20:10        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-04-22 19:36 . 2011-05-24 19:32        26496        ----a-w-        c:\windows\system32\drivers\Diskdump.sys
2011-04-09 06:13 . 2011-05-11 15:26        3957632        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 15:26        3901824        ----a-w-        c:\windows\system32\ntoskrnl.exe
2011-04-09 05:56 . 2011-05-24 19:32        123904        ----a-w-        c:\windows\system32\poqexec.exe
2010-05-21 14:05 . 2010-05-21 14:05        3099648        ----a-w-        c:\program files\openofficeorg32.msi
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2010-01-25 20480]
"BitTorrent DNA"="c:\users\Maxi\Program Files\DNA\btdna.exe" [2010-03-27 323392]
"Pando Media Booster"="c:\program files\Pando Networks\Media Booster\PMB.exe" [2010-03-26 2937528]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2011-04-07 353736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-02-21 1183744]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-04 281768]
"Performance Center"="c:\program files\Ascentive\Performance Center\APCMain.exe" [2009-04-21 3239936]
"PC SpeedScan Pro"="c:\program files\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe" [2009-12-07 2179072]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-01-27 1312848]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 150552]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-23 663552]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"ConnectionCenter"="c:\program files\Citrix\ICA Client\concentr.exe" [2010-10-12 304568]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
c:\users\Maxi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"ConsentPromptBehaviorAdmin"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-01-29 21:17        64592        ----a-w-        c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan.lnk
backup=c:\windows\pss\McAfee Security Scan.lnk.CommonStartup
backupExtension=.CommonStartup
.
R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-13 721904]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 135664]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 135664]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2009-11-25 34384]
R3 WSDPrintDevice;WSD Print Support via UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
R4 wlcrasvc;Windows Live Devices remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-07-31 49504]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [2010-07-14 65584]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-28 136360]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2011-05-06 393112]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SSMDRV
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 14:41]
.
2011-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 14:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = localhost
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - (no file)
HKCU-Run-ECXHYIMSihMUVK - c:\programdata\ECXHYIMSihMUVK.exe
HKLM-Run-SearchSettings - c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
AddRemove-Allianz AMIS AVW - D:\start.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1386194434-245477122-2751725893-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Citrix\ICA Client\ssonsvr.exe
c:\windows\system32\AEADISRV.EXE
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PSIService.exe
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\conhost.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Brother\ControlCenter3\brccMCtl.exe
c:\program files\Brother\Brmfcmon\BrMfimon.exe
c:\program files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Citrix\ICA Client\WFCRUN32.EXE
c:\program files\IncrediMail\Bin\ImApp.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-23  22:28:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-23 20:28
.
Vor Suchlauf: 19 Verzeichnis(se), 59.448.991.744 Bytes frei
Nach Suchlauf: 32 Verzeichnis(se), 59.711.991.808 Bytes frei
.
- - End Of File - - D23CB7E8FE264380CEF5D1E4F32A0724
--- --- ---

cosinus 24.06.2011 08:46
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Lummerland 28.06.2011 20:58
Hallo, hab das jetzt alles so drüberlaufen lassen, hoffe das hat alles so geklappt.
Hier die Ergebnisse.

die OSAM lässt sich leider nicht hochladen. Kopier se jetzt einfach rein, ich hoffe das geht auch.

Gruß
Christine

_______________________________________________________
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:34:28 on 28.06.2011

OS: Windows 7 Ultimate Edition (Build 7600), 32-bit
Default Browser: Microsoft Corporation Internet Explorer 9.00.8112.16421

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened filesa
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Pando" - "Pando Networks" - C:\Program Files\Pando Networks\Media Booster\PMB.cpl
"PROSet Tools" - "Intel(R) Corporation" - C:\Program Files\Intel\WiFi\bin\iproset.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"adfs" (adfs) - ? - C:\Windows\system32\drivers\adfs.sys  (File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Maxi\AppData\Local\Temp\catchme.sys  (File not found)
"Citrix USB Monitor Driver" (ctxusbm) - "Citrix Systems, Inc." - C:\Windows\System32\DRIVERS\ctxusbm.sys
"EagleNT" (EagleNT) - ? - C:\Users\Maxi\AppData\Local\Temp\EagleNT.sys  (File not found)
"kxldypod" (kxldypod) - ? - C:\Users\Maxi\AppData\Local\Temp\kxldypod.sys  (Hidden registry entry, rootkit activity | File not found)
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{2C7339CF-2B09-4501-B3F3-F3508C9228ED} "Themes Setup" - "Microsoft Corporation" - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler )-----
{E31004D1-A431-41B8-826F-E902F9D95C81} "Windows DreamScene" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll
{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech, Inc." - C:\Program Files\Logitech\SetPointP\kbcplext.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll
Logitech Setpoint Extension "{B9B9F083-2B04-452A-8691-83694AC1037B}" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{4871A87A-BFDD-4106-8153-FFDE2BAC2967} "DLM Control" - "Akamai Technologies, Inc." - C:\Windows\DOWNLO~1\DOWNLO~1.OCX / hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID Sign-in Helper" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Security Packages" - "Microsoft Corp." - C:\Windows\system32\livessp.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Maxi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 3.2.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BitTorrent DNA" - "BitTorrent, Inc." - "C:\Users\Maxi\Program Files\DNA\btdna.exe"
"IncrediMail" - "IncrediMail, Ltd." - C:\Program Files\IncrediMail\bin\IncMail.exe /c
"LDM" - "Logitech" - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
"Pando Media Booster" - ? - C:\Program Files\Pando Networks\Media Booster\PMB.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"BrMfcWnd" - "Brother Industries, Ltd." - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
"ConnectionCenter" - "Citrix Systems, Inc." - "C:\Program Files\Citrix\ICA Client\concentr.exe" /startup
"ControlCenter3" - "Brother Industries, Ltd." - C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
"EvtMgr6" - "Logitech, Inc." - C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
"PC SpeedScan Pro" - ? - C:\Program Files\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe -m
"Performance Center" - "Ascentive" - C:\Program Files\Ascentive\Performance Center\APCMain.exe -m
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Citrix Single Sign-on" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\pnsson.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@%SystemRoot%\System32\themeservice.dll,-8192" (Themes) - "Microsoft Corporation" - C:\Windows\system32\themeservice.dll
"Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
"Application Updater" (Application Updater) - "Spigot, Inc." - C:\Program Files\Application Updater\ApplicationUpdater.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel(R) Corporation" - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel(R) Corporation" - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
"Logitech Bluetooth Service" (LBTServ) - "Logitech, Inc." - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"ProtexisLicensing" (ProtexisLicensing) - ? - C:\Windows\system32\PSIService.exe
"Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

[Winlogon]
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"LBTWlgn" - "Logitech, Inc." - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"WindowsLive Local NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL
"WindowsLive NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



___________________________________________________________
GMER Logfile:
Code:
GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-28 21:23:15
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-2 FUJITSU_MHZ2160BH_G2 rev.8909
Running: qio6cc2r.exe; Driver: C:\Users\Maxi\AppData\Local\Temp\kxldypod.sys


---- System - GMER 1.0.15 ----

SSDT            8E9FBF3E                                                                                              ZwCreateSection
SSDT            8E9FBF43                                                                                              ZwSetContextThread
SSDT            8E9FBEDF                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                      82C54569 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                82C79092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          ntkrnlpa.exe!RtlSidHashLookup + 340                                                                  82C80950 4 Bytes  [3E, BF, 9F, 8E]
.text          ntkrnlpa.exe!RtlSidHashLookup + 6E0                                                                  82C80CF0 4 Bytes  [43, BF, 9F, 8E]
.text          ntkrnlpa.exe!RtlSidHashLookup + 7B8                                                                  82C80DC8 4 Bytes  [DF, BE, 9F, 8E]

---- User code sections - GMER 1.0.15 ----

.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!EnableWindow                        76F8A72E 5 Bytes  JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxIndirectParamW              76FB4AA7 5 Bytes  JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxParamW                      76FB564A 5 Bytes  JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxParamA                      76FCCF6A 5 Bytes  JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxIndirectParamA              76FCD29C 5 Bytes  JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxIndirectA                  76FDE8C9 5 Bytes  JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxIndirectW                  76FDE9C3 5 Bytes  JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxExA                        76FDEA29 5 Bytes  JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxExW                        76FDEA4D 5 Bytes  JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] WININET.dll!HttpAddRequestHeadersA              76BA1B9C 5 Bytes  JMP 00336A90
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] WININET.dll!HttpAddRequestHeadersW              76BEF7A8 5 Bytes  JMP 00336C90
.text          C:\Program Files\Pando Networks\Media Booster\PMB.exe[2204] kernel32.dll!SetUnhandledExceptionFilter  76D03162 5 Bytes  [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] kernel32.dll!CreateThread                      76D0281D 5 Bytes  JMP 6E3A71CB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!EnableWindow                        76F8A72E 5 Bytes  JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!UnhookWindowsHookEx                  76F8CC7B 5 Bytes  JMP 6E42E9F8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!CallNextHookEx                      76F8CC8F 5 Bytes  JMP 6E407A3F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DefWindowProcA                      76F8E0E4 7 Bytes  JMP 6E3A93F5 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!CreateWindowExA                      76F8E18A 5 Bytes  JMP 6E3B3223 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!CreateWindowExW                      76F90E51 5 Bytes  JMP 6E40FE1F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!SetWindowsHookExW                    76F9210A 5 Bytes  JMP 6E3E204C C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DefWindowProcW                      76F9724B 7 Bytes  JMP 6E407AA2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxIndirectParamW              76FB4AA7 5 Bytes  JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxParamW                      76FB564A 5 Bytes  JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxParamA                      76FCCF6A 5 Bytes  JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxIndirectParamA              76FCD29C 5 Bytes  JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxIndirectA                  76FDE8C9 5 Bytes  JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxIndirectW                  76FDE9C3 5 Bytes  JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxExA                        76FDEA29 5 Bytes  JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxExW                        76FDEA4D 5 Bytes  JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] ole32.dll!OleLoadFromStream                    75CD5BF6 5 Bytes  JMP 6E53666E C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WININET.dll!HttpAddRequestHeadersA              76BA1B9C 5 Bytes  JMP 00546A90
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WININET.dll!HttpAddRequestHeadersW              76BEF7A8 5 Bytes  JMP 00546C90
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!closesocket                          77763BED 5 Bytes  JMP 0178000A
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!recv                                777647DF 5 Bytes  JMP 0176000A
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!connect                              777648BE 5 Bytes  JMP 0177000A
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!getaddrinfo                          77766737 5 Bytes  JMP 017B000A
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!send                                7776C4C8 5 Bytes  JMP 0179000A
.text          C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!gethostbyname                        77777133 5 Bytes  JMP 017A000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!EnableWindow                        76F8A72E 5 Bytes  JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxIndirectParamW              76FB4AA7 5 Bytes  JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxParamW                      76FB564A 5 Bytes  JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxParamA                      76FCCF6A 5 Bytes  JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxIndirectParamA              76FCD29C 5 Bytes  JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxIndirectA                  76FDE8C9 5 Bytes  JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxIndirectW                  76FDE9C3 5 Bytes  JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxExA                        76FDEA29 5 Bytes  JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxExW                        76FDEA4D 5 Bytes  JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WININET.dll!HttpAddRequestHeadersA              76BA1B9C 5 Bytes  JMP 00346A90
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WININET.dll!HttpAddRequestHeadersW              76BEF7A8 5 Bytes  JMP 00346C90
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!closesocket                          77763BED 5 Bytes  JMP 007C000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!recv                                777647DF 5 Bytes  JMP 007A000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!connect                              777648BE 5 Bytes  JMP 007B000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!getaddrinfo                          77766737 5 Bytes  JMP 00A1000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!send                                7776C4C8 5 Bytes  JMP 007D000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!gethostbyname                        77777133 5 Bytes  JMP 0092000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] kernel32.dll!CreateThread                      76D0281D 5 Bytes  JMP 6E3A71CB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!EnableWindow                        76F8A72E 5 Bytes  JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!UnhookWindowsHookEx                  76F8CC7B 5 Bytes  JMP 6E42E9F8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!CallNextHookEx                      76F8CC8F 5 Bytes  JMP 6E407A3F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DefWindowProcA                      76F8E0E4 7 Bytes  JMP 6E3A93F5 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!CreateWindowExA                      76F8E18A 5 Bytes  JMP 6E3B3223 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!CreateWindowExW                      76F90E51 5 Bytes  JMP 6E40FE1F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!SetWindowsHookExW                    76F9210A 5 Bytes  JMP 6E3E204C C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DefWindowProcW                      76F9724B 7 Bytes  JMP 6E407AA2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxIndirectParamW              76FB4AA7 5 Bytes  JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxParamW                      76FB564A 5 Bytes  JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxParamA                      76FCCF6A 5 Bytes  JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxIndirectParamA              76FCD29C 5 Bytes  JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxIndirectA                  76FDE8C9 5 Bytes  JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxIndirectW                  76FDE9C3 5 Bytes  JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxExA                        76FDEA29 5 Bytes  JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxExW                        76FDEA4D 5 Bytes  JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] ole32.dll!OleLoadFromStream                    75CD5BF6 5 Bytes  JMP 6E53666E C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WININET.dll!HttpAddRequestHeadersA              76BA1B9C 5 Bytes  JMP 017D6A90
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WININET.dll!HttpAddRequestHeadersW              76BEF7A8 5 Bytes  JMP 017D6C90
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!closesocket                          77763BED 5 Bytes  JMP 01B4000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!recv                                777647DF 5 Bytes  JMP 01B2000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!connect                              777648BE 5 Bytes  JMP 01B3000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!getaddrinfo                          77766737 5 Bytes  JMP 01B7000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!send                                7776C4C8 5 Bytes  JMP 01B5000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!gethostbyname                        77777133 5 Bytes  JMP 01B6000A

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                      [743A2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                  [74385624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                [743856E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                        [743A250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]              [74398573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                [74394D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]              [743950CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]              [743951A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]    [743966D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]              [743982CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]          [74398819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]        [7439907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]              [7439E21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                  [74394C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                              Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004e                                                                    halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:244]                                                                                        86051E7A
Thread          System [4:248]                                                                                        86054008

---- EOF - GMER 1.0.15 ----
--- --- ---

cosinus 28.06.2011 21:03
Das Log von mbrcheck ist unvollständig...

Lummerland 29.06.2011 18:16
Hallo,

hoffe jetzt ist er vollständig. War wohl gestern zu ungeduldig.

Danke
Gruß Christine

cosinus 29.06.2011 21:41
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset



Alle Zeitangaben in WEZ +1. Es ist jetzt 08:49 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131