Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Unerwünschte Popups / DNS-Verbiegungen / Suchanfragenverfälschungen (https://www.trojaner-board.de/90916-unerwuenschte-popups-dns-verbiegungen-suchanfragenverfaelschungen.html)

sebi66 18.09.2010 15:43

Unerwünschte Popups / DNS-Verbiegungen / Suchanfragenverfälschungen
 
Hallo zusammen,

ich habe Eure load.exe durchgeführt, und folgendes Problem besteht weiterhin:

Mein Windows XP Rechner kann bestimmte Server wie Windows Update nicht erreichen, und es öffnen sich sogar innerhalb meines Browsers Opera neue Fenster, und es werden manchmal Suchergebnisse von Google etc. verfälscht.

Ich würde mich freuen, wenn Ihr mir weiterhelfen könntet.

Noch ein Hinweis zu Eurem Schritt 6:

"Klicke nun in die benutzerdefinierte Scans Box. Nun wirst Du gefragt ob du eine Datei einfügen willst."

Ich wurde leider weder gefragt, noch hat er per Drag and Drop die Scan.txt akzeptiert. Deshalb habe ich den Quick Scan so ausgeführt.

So, in einer anderen Anleitung habe ich jetzt nochmal gelesen, dass man in das OTL-Fenster den Text an sich reinpasten muss.

Deswegen sind die Dateien jetzt klein genug, um sie einzeln anzuhängen.

cosinus 20.09.2010 09:14

Zitat:

C:\WINDOOF\System32\rmc_fixasf.exe
Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

sebi66 20.09.2010 16:55

Dankeschön, hier ist der Link:

hxxp://www.virustotal.com/file-scan/report.html?id=eeb5d8733b225913ba90624f951214c73a603ebd991fc3988847c5c7e3926299-1284997947

falls der Link abläuft, hier das Ergebnis:

File name:
rmc_fixasf.exe
Submission date:
2010-09-20 15:52:27 (UTC)
Current status:
finished
Result:
2/ 43 (4.7%)

CAT-QuickHeal 11.00 2010.09.20 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.09.20 PUA.Packed.ASPack

cosinus 20.09.2010 17:50

Lad die Datei bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Danach bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

sebi66 20.09.2010 18:47

Hallo,

Datei ist hochgeladen.

CCleaner durchgeführt.

Hier mein Log zu ComboFix. Noch ein Hinweis: Nach dem Reboot wegen Rootkit-Aktivitäten ist mein Virenscanner wieder angegangen. Die dann folgenden Virenmeldungen habe ich mit "Zugriff verweigern" bestätigt.

Code:

ComboFix 10-09-20.01 - Desktop 20.09.2010  19:32:44.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1662 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Desktop\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\test.txt

Infizierte Kopie von c:\windoof\system32\drivers\ftdisk.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-20 bis 2010-09-20  ))))))))))))))))))))))))))))))
.

2010-09-20 17:17 . 2010-09-20 17:17        131764        ----a-w-        C:\cc_20100920_191656.reg
2010-09-20 17:14 . 2010-09-20 17:14        --------        d-----w-        c:\programme\CCleaner
2010-09-18 18:48 . 2010-09-18 18:48        --------        d-sh--w-        c:\dokumente und einstellungen\Desktop\PrivacIE
2010-09-18 11:26 . 2010-09-18 11:26        --------        d-----w-        c:\programme\ERUNT
2010-09-18 11:22 . 2010-09-18 11:22        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Malwarebytes
2010-09-18 11:21 . 2010-04-29 13:39        38224        ----a-w-        c:\windoof\system32\drivers\mbamswissarmy.sys
2010-09-18 11:21 . 2010-09-18 11:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-18 11:21 . 2010-09-18 11:22        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-09-18 11:21 . 2010-04-29 13:39        20952        ----a-w-        c:\windoof\system32\drivers\mbam.sys
2010-09-17 20:00 . 2010-09-17 20:00        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-09-15 18:49 . 2010-09-15 18:49        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-09-15 18:40 . 2010-06-24 12:22        12800        ------w-        c:\windoof\system32\dllcache\xpshims.dll
2010-09-15 18:40 . 2010-06-24 12:21        247808        ------w-        c:\windoof\system32\dllcache\ieproxy.dll
2010-09-15 18:40 . 2010-06-24 12:21        743424        ------w-        c:\windoof\system32\dllcache\iedvtool.dll
2010-09-15 18:38 . 2010-06-18 13:36        3558912        ------w-        c:\windoof\system32\dllcache\moviemk.exe
2010-09-15 18:36 . 2010-06-14 14:31        744448        ------w-        c:\windoof\system32\dllcache\helpsvc.exe
2010-09-15 18:33 . 2010-04-20 05:29        285696        ------w-        c:\windoof\system32\dllcache\atmfd.dll
2010-09-15 18:33 . 2010-03-05 14:37        65536        ------w-        c:\windoof\system32\dllcache\asycfilt.dll
2010-09-15 18:31 . 2010-02-12 04:33        100864        ------w-        c:\windoof\system32\dllcache\6to4svc.dll
2010-09-15 18:31 . 2010-03-05 18:45        465920        ------w-        c:\windoof\system32\dllcache\smtpsvc.dll
2010-09-15 18:31 . 2010-09-15 18:40        --------        d-----w-        c:\windoof\ie8updates
2010-09-15 18:30 . 2010-01-13 14:00        86528        ------w-        c:\windoof\system32\dllcache\cabview.dll
2010-09-15 18:29 . 2009-12-24 06:59        177664        ------w-        c:\windoof\system32\dllcache\wintrust.dll
2010-09-15 18:29 . 2009-09-06 07:09        126976        ------w-        c:\windoof\system32\dllcache\ftpsvc2.dll
2010-09-15 18:28 . 2009-05-21 18:47        268288        ------w-        c:\windoof\system32\dllcache\httpext.dll
2010-09-15 18:27 . 2008-08-28 07:46        74752        ------w-        c:\windoof\system32\dllcache\msw3prt.dll
2010-09-15 18:27 . 2008-08-28 07:46        104960        ------w-        c:\windoof\system32\dllcache\win32spl.dll
2010-09-15 18:26 . 2010-09-15 18:26        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache
2010-09-15 18:25 . 2010-09-15 18:25        --------        d-sh--w-        c:\dokumente und einstellungen\Desktop\IETldCache
2010-09-15 18:21 . 2010-09-20 17:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 18:21 . 2010-09-15 18:22        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-09-15 18:21 . 2010-09-15 18:23        --------        dc-h--w-        c:\windoof\ie8
2010-08-22 21:47 . 2010-08-22 21:47        --------        d-----w-        c:\programme\RichiStudios
2010-08-22 21:46 . 2010-09-20 16:26        --------        d-----w-        c:\windoof\uninstall

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-20 17:16 . 2009-02-13 18:06        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Media Player Classic
2010-09-20 16:25 . 2008-12-12 15:32        --------        d-----w-        c:\programme\VideoTools
2010-09-20 16:25 . 2009-08-23 12:21        --------        d-----w-        c:\programme\Akademische Arbeitsgemeinschaft
2010-09-19 19:05 . 2009-01-13 15:33        1        ----a-w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-15 18:43 . 2001-08-18 11:00        79910        ----a-w-        c:\windoof\system32\perfc007.dat
2010-09-15 18:43 . 2001-08-18 11:00        448470        ----a-w-        c:\windoof\system32\perfh007.dat
2010-09-15 17:46 . 2008-12-11 19:23        86327        ----a-w-        c:\windoof\pchealth\helpctr\OfflineCache\index.dat
2010-09-01 17:13 . 2010-01-15 20:11        --------        d-----w-        c:\programme\Replay Media Catcher
2010-09-01 16:52 . 2009-03-20 19:30        237568        ----a-w-        c:\windoof\system32\rmc_rtspdl.dll
2010-09-01 16:52 . 2009-03-20 19:30        156672        ----a-w-        c:\windoof\system32\rmc_fixasf.exe
2010-08-27 16:25 . 2009-06-05 18:03        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Orbit
2010-08-26 09:16 . 2008-12-11 20:31        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Miranda IM
2010-08-24 17:42 . 2008-12-11 20:21        --------        d-----w-        c:\programme\InternetTools
2010-07-29 17:38 . 2010-07-29 17:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia
2010-07-29 17:38 . 2010-07-29 17:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Nokia
2010-07-29 17:37 . 2010-07-29 17:10        --------        d-----w-        c:\programme\Nokia
2010-07-29 17:36 . 2010-07-29 17:36        3351812        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\Installer\CommonCustomActions\msxml6Exec.exe
2010-07-29 17:36 . 2010-07-29 17:36        36864        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\Installer\CommonCustomActions\Sleep.exe
2010-07-29 17:36 . 2010-07-29 17:36        3203453        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\Installer\CommonCustomActions\vcredistExec.exe
2010-07-29 17:35 . 2010-07-29 17:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-07-29 17:35 . 2010-07-29 17:37        35644808        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\NokiaSoftwareUpdaterSetup_de.exe
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\Msft_User_PCCSWpdDriver_01_09_00.Wdf
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\MsftWdf_user_01_09_00.Wdf
2010-07-29 17:13 . 2010-07-29 17:11        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Nokia
2010-07-29 17:13 . 2010-07-29 17:11        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\PC Suite
2010-07-29 17:13 . 2010-07-29 17:11        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\Msft_Kernel_ccdcmb_01009.Wdf
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-07-29 17:11 . 2010-07-29 17:11        --------        d-----w-        c:\programme\Gemeinsame Dateien\PCSuite
2010-07-29 17:10 . 2010-07-29 17:10        --------        d-----w-        c:\programme\PC Connectivity Solution
2010-07-29 17:10 . 2010-07-29 17:10        95232        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\pcswpcsi.exe
2010-07-29 17:10 . 2010-07-29 17:10        8192        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstCCD.exe
2010-07-29 17:10 . 2010-07-29 17:10        61440        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-07-29 17:10 . 2010-07-29 17:10        10240        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCS.exe
2010-07-29 17:09 . 2010-07-29 17:10        36426336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger_web.exe
2010-06-30 12:28 . 2009-05-18 21:30        149504        ----a-w-        c:\windoof\system32\schannel.dll
2010-06-24 12:22 . 2007-06-25 19:35        916480        ----a-w-        c:\windoof\system32\wininet.dll
2010-06-24 09:02 . 2009-05-18 21:30        1852032        ----a-w-        c:\windoof\system32\win32k.sys
.

------- Sigcheck -------

[-] 2007-03-17 18:08 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windoof\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windoof\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"WinSys2"="c:\windoof\system32\winsys2.exe" [2008-07-09 208896]
"NvMediaCenter"="c:\windoof\system32\NvMcTray.dll" [2008-05-03 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
"IE7"="advpack.dll" [2009-03-08 128512]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\InternetTools\\FlashFXP\\FlashFXP.exe"=
"c:\\Programme\\InternetTools\\miranda\\miranda32.exe"=
"c:\\Programme\\InternetTools\\Java\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOOF\\system32\\java.exe"=
"c:\\Programme\\VideoTools\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"c:\\Programme\\VideoTools\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\VideoTools\\DVBViewer\\dvbviewer.exe"=
"c:\\Dokumente und Einstellungen\\Desktop\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\AudioTools\\Streamripper\\wstreamripper.exe"=
"c:\\Programme\\InternetTools\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\InternetTools\\TeamViewer\\TeamViewer.exe"=
"c:\\Programme\\InternetTools\\Opera\\opera.exe"=
"c:\\Programme\\InternetTools\\Java\\bin\\javaw.exe"=

R0 pavboot;pavboot;c:\windoof\system32\drivers\pavboot.sys [23.01.2009 22:09 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.05.2009 19:35 108289]
R3 JakNDisMP;JakNDisMP;c:\windoof\system32\drivers\JakNDis.sys [11.05.2009 14:53 21504]
S3 JakNDis;Jaksta Service;c:\windoof\system32\drivers\JakNDis.sys [11.05.2009 14:53 21504]
S3 MHIKEY10;MHIKEY10;c:\windoof\system32\drivers\MHIKEY10.sys [10.04.2009 14:57 51072]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windoof\system32\drivers\nmwcdnsu.sys [29.07.2010 19:10 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windoof\system32\drivers\nmwcdnsuc.sys [29.07.2010 19:10 8320]
S3 NPF;NetGroup Packet Filter Driver;c:\windoof\system32\drivers\npf.sys [20.10.2009 20:19 50704]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
S3 TTUSB2BDA;TTUSB2BDA USB 2.0 Driver;c:\windoof\system32\drivers\ttusb2bda.sys [20.12.2008 20:09 582144]
S4 sptd;sptd;c:\windoof\system32\drivers\sptd.sys [09.04.2010 20:16 691696]
.
Inhalt des "geplante Tasks" Ordners

2010-09-15 c:\windoof\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-963894560-682003330-1003Core.job
- c:\dokumente und einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-23 06:17]

2010-09-20 c:\windoof\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-963894560-682003330-1003UA.job
- c:\dokumente und einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-23 06:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Download All Files by HiDownload - c:\programme\AudioTools\HiDownload\HDGetAll.htm
IE: Download by HiDownload - c:\programme\AudioTools\HiDownload\HDGet.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-WudfPf
SafeBoot-WudfRd



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-20 19:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2932)
c:\windoof\system32\nview.dll
c:\windoof\system32\NVWRSDE.DLL
c:\windoof\system32\webcheck.dll
c:\windoof\system32\wpdshserviceobj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windoof\system32\portabledevicetypes.dll
c:\windoof\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windoof\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\InternetTools\Java\bin\jqs.exe
c:\windoof\system32\nvsvc32.exe
c:\windoof\system32\rundll32.exe
c:\windoof\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-20  19:43:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-20 17:43

Vor Suchlauf: 7 Verzeichnis(se), 62.713.466.880 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 62.583.492.608 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOOF
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOOF="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 75DF2F7F34624FC61F9A84906930DBE0


cosinus 20.09.2010 18:58

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Filelook::
c:\windoof\system32\rmc_rtspdl.dll
c:\windoof\system32\rmc_fixasf.exe
c:\windoof\system32\mspmsnsv.dll

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

sebi66 20.09.2010 19:12

done

Code:

ComboFix 10-09-20.01 - Desktop 20.09.2010  20:04:17.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1574 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Desktop\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Desktop\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-08-20 bis 2010-09-20  ))))))))))))))))))))))))))))))
.

2010-09-20 17:19 . 2010-09-20 17:43        --------        d-----w-        C:\CoFi
2010-09-20 17:17 . 2010-09-20 17:17        131764        ----a-w-        C:\cc_20100920_191656.reg
2010-09-20 17:14 . 2010-09-20 17:14        --------        d-----w-        c:\programme\CCleaner
2010-09-18 18:48 . 2010-09-18 18:48        --------        d-sh--w-        c:\dokumente und einstellungen\Desktop\PrivacIE
2010-09-18 11:26 . 2010-09-18 11:26        --------        d-----w-        c:\programme\ERUNT
2010-09-18 11:22 . 2010-09-18 11:22        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Malwarebytes
2010-09-18 11:21 . 2010-04-29 13:39        38224        ----a-w-        c:\windoof\system32\drivers\mbamswissarmy.sys
2010-09-18 11:21 . 2010-09-18 11:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-18 11:21 . 2010-09-18 11:22        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-09-18 11:21 . 2010-04-29 13:39        20952        ----a-w-        c:\windoof\system32\drivers\mbam.sys
2010-09-17 20:00 . 2010-09-17 20:00        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-09-15 18:49 . 2010-09-15 18:49        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-09-15 18:40 . 2010-06-24 12:22        12800        ------w-        c:\windoof\system32\dllcache\xpshims.dll
2010-09-15 18:40 . 2010-06-24 12:21        247808        ------w-        c:\windoof\system32\dllcache\ieproxy.dll
2010-09-15 18:40 . 2010-06-24 12:21        743424        ------w-        c:\windoof\system32\dllcache\iedvtool.dll
2010-09-15 18:38 . 2010-06-18 13:36        3558912        ------w-        c:\windoof\system32\dllcache\moviemk.exe
2010-09-15 18:36 . 2010-06-14 14:31        744448        ------w-        c:\windoof\system32\dllcache\helpsvc.exe
2010-09-15 18:33 . 2010-04-20 05:29        285696        ------w-        c:\windoof\system32\dllcache\atmfd.dll
2010-09-15 18:33 . 2010-03-05 14:37        65536        ------w-        c:\windoof\system32\dllcache\asycfilt.dll
2010-09-15 18:31 . 2010-02-12 04:33        100864        ------w-        c:\windoof\system32\dllcache\6to4svc.dll
2010-09-15 18:31 . 2010-03-05 18:45        465920        ------w-        c:\windoof\system32\dllcache\smtpsvc.dll
2010-09-15 18:31 . 2010-09-15 18:40        --------        d-----w-        c:\windoof\ie8updates
2010-09-15 18:30 . 2010-01-13 14:00        86528        ------w-        c:\windoof\system32\dllcache\cabview.dll
2010-09-15 18:29 . 2009-12-24 06:59        177664        ------w-        c:\windoof\system32\dllcache\wintrust.dll
2010-09-15 18:29 . 2009-09-06 07:09        126976        ------w-        c:\windoof\system32\dllcache\ftpsvc2.dll
2010-09-15 18:28 . 2009-05-21 18:47        268288        ------w-        c:\windoof\system32\dllcache\httpext.dll
2010-09-15 18:27 . 2008-08-28 07:46        74752        ------w-        c:\windoof\system32\dllcache\msw3prt.dll
2010-09-15 18:27 . 2008-08-28 07:46        104960        ------w-        c:\windoof\system32\dllcache\win32spl.dll
2010-09-15 18:26 . 2010-09-15 18:26        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache
2010-09-15 18:25 . 2010-09-15 18:25        --------        d-sh--w-        c:\dokumente und einstellungen\Desktop\IETldCache
2010-09-15 18:21 . 2010-09-20 17:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 18:21 . 2010-09-15 18:22        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-09-15 18:21 . 2010-09-15 18:23        --------        dc-h--w-        c:\windoof\ie8
2010-08-22 21:47 . 2010-08-22 21:47        --------        d-----w-        c:\programme\RichiStudios
2010-08-22 21:46 . 2010-09-20 16:26        --------        d-----w-        c:\windoof\uninstall

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-20 17:16 . 2009-02-13 18:06        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Media Player Classic
2010-09-20 16:25 . 2008-12-12 15:32        --------        d-----w-        c:\programme\VideoTools
2010-09-20 16:25 . 2009-08-23 12:21        --------        d-----w-        c:\programme\Akademische Arbeitsgemeinschaft
2010-09-19 19:05 . 2009-01-13 15:33        1        ----a-w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-15 18:43 . 2001-08-18 11:00        79910        ----a-w-        c:\windoof\system32\perfc007.dat
2010-09-15 18:43 . 2001-08-18 11:00        448470        ----a-w-        c:\windoof\system32\perfh007.dat
2010-09-15 17:46 . 2008-12-11 19:23        86327        ----a-w-        c:\windoof\pchealth\helpctr\OfflineCache\index.dat
2010-09-01 17:13 . 2010-01-15 20:11        --------        d-----w-        c:\programme\Replay Media Catcher
2010-09-01 16:52 . 2009-03-20 19:30        237568        ----a-w-        c:\windoof\system32\rmc_rtspdl.dll
2010-09-01 16:52 . 2009-03-20 19:30        156672        ----a-w-        c:\windoof\system32\rmc_fixasf.exe
2010-08-27 16:25 . 2009-06-05 18:03        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Orbit
2010-08-26 09:16 . 2008-12-11 20:31        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Miranda IM
2010-08-24 17:42 . 2008-12-11 20:21        --------        d-----w-        c:\programme\InternetTools
2010-07-29 17:38 . 2010-07-29 17:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia
2010-07-29 17:38 . 2010-07-29 17:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Nokia
2010-07-29 17:37 . 2010-07-29 17:10        --------        d-----w-        c:\programme\Nokia
2010-07-29 17:36 . 2010-07-29 17:36        3351812        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\Installer\CommonCustomActions\msxml6Exec.exe
2010-07-29 17:36 . 2010-07-29 17:36        36864        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\Installer\CommonCustomActions\Sleep.exe
2010-07-29 17:36 . 2010-07-29 17:36        3203453        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\Installer\CommonCustomActions\vcredistExec.exe
2010-07-29 17:35 . 2010-07-29 17:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-07-29 17:35 . 2010-07-29 17:37        35644808        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{09C468CA-2940-466A-AAE8-DCC0C6E9323C}\NokiaSoftwareUpdaterSetup_de.exe
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\Msft_User_PCCSWpdDriver_01_09_00.Wdf
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\MsftWdf_user_01_09_00.Wdf
2010-07-29 17:13 . 2010-07-29 17:11        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\Nokia
2010-07-29 17:13 . 2010-07-29 17:11        --------        d-----w-        c:\dokumente und einstellungen\Desktop\Anwendungsdaten\PC Suite
2010-07-29 17:13 . 2010-07-29 17:11        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\Msft_Kernel_ccdcmb_01009.Wdf
2010-07-29 17:13 . 2010-07-29 17:13        0        ---ha-w-        c:\windoof\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-07-29 17:11 . 2010-07-29 17:11        --------        d-----w-        c:\programme\Gemeinsame Dateien\PCSuite
2010-07-29 17:10 . 2010-07-29 17:10        --------        d-----w-        c:\programme\PC Connectivity Solution
2010-07-29 17:10 . 2010-07-29 17:10        95232        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\pcswpcsi.exe
2010-07-29 17:10 . 2010-07-29 17:10        8192        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstCCD.exe
2010-07-29 17:10 . 2010-07-29 17:10        61440        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-07-29 17:10 . 2010-07-29 17:10        10240        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCS.exe
2010-07-29 17:09 . 2010-07-29 17:10        36426336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger_web.exe
2010-06-30 12:28 . 2009-05-18 21:30        149504        ----a-w-        c:\windoof\system32\schannel.dll
2010-06-24 12:22 . 2007-06-25 19:35        916480        ----a-w-        c:\windoof\system32\wininet.dll
2010-06-24 09:02 . 2009-05-18 21:30        1852032        ----a-w-        c:\windoof\system32\win32k.sys
.

((((((((((((((((((((((((((((((((((((((((((((  Look  )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windoof\system32\mspmsnsv.dll ---
Company: Microsoft Corporation
File Description: Microsoft Media Device Service Provider
File Version: 11.0.5721.5145
Product Name: Windows Media Device Manager
Copyright: (C) Microsoft Corporation. All rights reserved.
Original Filename: MsPMSNSv.dll
File size: 27136
Created time: 2007-03-17 18:08
Modified time: 2007-03-17 18:08
MD5: C51B4A5C05A5475708E3C81C7765B71D
SHA1: C61095F51DF41E64B3F034458958C918F0D6F8A8


--- c:\windoof\system32\rmc_fixasf.exe ---
Company: Radioactive
File Description: asfbin
File Version: 1, 7, 1, 756
Product Name: asfbin by Radioactive
Copyright: Copyright © 2001-2007
Original Filename: asfbin
File size: 156672
Created time: 2009-03-20 19:30
Modified time: 2010-09-01 16:52
MD5: 2CC31CEC30A431848310DFE3031D4C59
SHA1: 02590BAF0DA7B75AA69797A84861C4A505659D00


--- c:\windoof\system32\rmc_rtspdl.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File size: 237568
Created time: 2009-03-20 19:30
Modified time: 2010-09-01 16:52
MD5: 5100207E91B63548AB61E5377C4A9DBA
SHA1: C389D3C7CFEA0F63113BA149EB0230EDCD63AF64


------- Sigcheck -------

[-] 2007-03-17 18:08 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windoof\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windoof\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"WinSys2"="c:\windoof\system32\winsys2.exe" [2008-07-09 208896]
"NvMediaCenter"="c:\windoof\system32\NvMcTray.dll" [2008-05-03 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
"IE7"="advpack.dll" [2009-03-08 128512]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\InternetTools\\FlashFXP\\FlashFXP.exe"=
"c:\\Programme\\InternetTools\\miranda\\miranda32.exe"=
"c:\\Programme\\InternetTools\\Java\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOOF\\system32\\java.exe"=
"c:\\Programme\\VideoTools\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"c:\\Programme\\VideoTools\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\VideoTools\\DVBViewer\\dvbviewer.exe"=
"c:\\Dokumente und Einstellungen\\Desktop\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\AudioTools\\Streamripper\\wstreamripper.exe"=
"c:\\Programme\\InternetTools\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\InternetTools\\TeamViewer\\TeamViewer.exe"=
"c:\\Programme\\InternetTools\\Opera\\opera.exe"=
"c:\\Programme\\InternetTools\\Java\\bin\\javaw.exe"=

R0 pavboot;pavboot;c:\windoof\system32\drivers\pavboot.sys [23.01.2009 22:09 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.05.2009 19:35 108289]
R3 JakNDisMP;JakNDisMP;c:\windoof\system32\drivers\JakNDis.sys [11.05.2009 14:53 21504]
S3 JakNDis;Jaksta Service;c:\windoof\system32\drivers\JakNDis.sys [11.05.2009 14:53 21504]
S3 MHIKEY10;MHIKEY10;c:\windoof\system32\drivers\MHIKEY10.sys [10.04.2009 14:57 51072]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windoof\system32\drivers\nmwcdnsu.sys [29.07.2010 19:10 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windoof\system32\drivers\nmwcdnsuc.sys [29.07.2010 19:10 8320]
S3 NPF;NetGroup Packet Filter Driver;c:\windoof\system32\drivers\npf.sys [20.10.2009 20:19 50704]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
S3 TTUSB2BDA;TTUSB2BDA USB 2.0 Driver;c:\windoof\system32\drivers\ttusb2bda.sys [20.12.2008 20:09 582144]
S4 sptd;sptd;c:\windoof\system32\drivers\sptd.sys [09.04.2010 20:16 691696]
.
Inhalt des "geplante Tasks" Ordners

2010-09-15 c:\windoof\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-963894560-682003330-1003Core.job
- c:\dokumente und einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-23 06:17]

2010-09-20 c:\windoof\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-963894560-682003330-1003UA.job
- c:\dokumente und einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-23 06:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Download All Files by HiDownload - c:\programme\AudioTools\HiDownload\HDGetAll.htm
IE: Download by HiDownload - c:\programme\AudioTools\HiDownload\HDGet.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3056)
c:\windoof\system32\nview.dll
c:\windoof\system32\NVWRSDE.DLL
c:\windoof\system32\webcheck.dll
c:\windoof\system32\wpdshserviceobj.dll
c:\windoof\system32\portabledevicetypes.dll
c:\windoof\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-09-20  20:08:21
ComboFix-quarantined-files.txt  2010-09-20 18:08
ComboFix2.txt  2010-09-20 17:43

Vor Suchlauf: 8 Verzeichnis(se), 62.590.386.176 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 62.570.246.144 Bytes frei

- - End Of File - - 356D5DBA8D99F1F4F43B41AA87FB8C6E


cosinus 20.09.2010 21:00

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

sebi66 21.09.2010 18:39

Gmer hat meinen PC mehrmals zum Absturz gebracht.

Hier das OSAM-Log:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0
{hxxp://www.online-solutions.ru/en/}
Saved at 19:36:24 on 21.09.2010
OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Opera Software Opera Internet Browser 10.62

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

    Risk  Name  Publisher  Full Path  Status 
Common 
%SystemRoot%\Tasks 
  ||||    "GoogleUpdateTaskUserS-1-5-21-854245398-963894560-682003330-1003Core.job"  "Google Inc."  C:\Dokumente und Einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe  File exists 
  ||||    "GoogleUpdateTaskUserS-1-5-21-854245398-963894560-682003330-1003UA.job"  "Google Inc."  C:\Dokumente und Einstellungen\Desktop\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe  File exists 
Control Panel Objects 
%SystemRoot%\system32 
  ||||||  "ALSndMgr.cpl"  "Realtek Semiconductor Corp."  C:\WINDOOF\system32\ALSndMgr.cpl  File exists 
  ||||||  "infocardcpl.cpl"  "Microsoft Corporation"  C:\WINDOOF\system32\infocardcpl.cpl  File exists 
  ||||||  "javacpl.cpl"  "Sun Microsystems, Inc."  C:\WINDOOF\system32\javacpl.cpl  File exists 
  ||||||  "nvcpl.cpl"  "NVIDIA Corporation"  C:\WINDOOF\system32\nvcpl.cpl  File exists 
  ||||||  "nvtuicpl.cpl"  "NVIDIA Corporation"  C:\WINDOOF\system32\nvtuicpl.cpl  File exists 
  ||||||  "RTSndMgr.cpl"  "Realtek Semiconductor Corp."  C:\WINDOOF\system32\RTSndMgr.cpl  File exists 
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls 
  ||||||  "Avira AntiVir Personal - Free Antivirus "  "Avira GmbH"  C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl  File exists 
  ||||||  "NokiaConnectionManager"  "Nokia"  C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL  File exists 
Drivers 
HKLM\SYSTEM\CurrentControlSet\Services 
  ||||||  "AMD-Prozessortreiber" (AmdK8)  "Advanced Micro Devices"  C:\WINDOOF\System32\DRIVERS\AmdK8.sys  File exists 
  ||||||  "Antwort für Verbindungsschicht-Topologieerkennung" (rspndr)  "Microsoft Corporation"  C:\WINDOOF\System32\DRIVERS\rspndr.sys  File exists 
  ||||||  "Aspi32" (Aspi32)  "Adaptec"  C:\WINDOOF\system32\drivers\Aspi32.sys  File exists 
  ||||||  "avgio" (avgio)  "Avira GmbH"  C:\Programme\Avira\AntiVir Desktop\avgio.sys  File exists 
  ||||||  "avgntflt" (avgntflt)  "Avira GmbH"  C:\WINDOOF\System32\DRIVERS\avgntflt.sys  File exists 
  ||||||  "avipbb" (avipbb)  "Avira GmbH"  C:\WINDOOF\System32\DRIVERS\avipbb.sys  File exists 
          "catchme" (catchme)      C:\CoFi\catchme.sys  File not found 
          "Changer" (Changer)      C:\WINDOOF\system32\drivers\Changer.sys  File not found 
          "Cinergy HTC USB XS Capture service" (USB28xxBGA)  "eMPIA Technology, Inc."  C:\WINDOOF\System32\DRIVERS\emBDA.sys  File exists 
          "Cinergy HTC USB XS OEM service" (USB28xxOEM)  "eMPIA Technology, Inc."  C:\WINDOOF\System32\DRIVERS\emOEM.sys  File exists 
  ||||||  "ElbyCDFL" (ElbyCDFL)  "SlySoft, Inc."  C:\WINDOOF\System32\Drivers\ElbyCDFL.sys  File exists 
  ||||||  "ElbyCDIO Driver" (ElbyCDIO)  "Elaborate Bytes AG"  C:\WINDOOF\System32\Drivers\ElbyCDIO.sys  File exists 
          "GMSIPCI" (GMSIPCI)      G:\INSTALL\GMSIPCI.SYS  File not found 
          "i2omgmt" (i2omgmt)      C:\WINDOOF\system32\drivers\i2omgmt.sys  File not found 
  ||      "JakNDisMP" (JakNDisMP)  "Jaksta LLC"  C:\WINDOOF\System32\DRIVERS\JakNDis.sys  File exists 
  ||      "Jaksta Service" (JakNDis)  "Jaksta LLC"  C:\WINDOOF\System32\DRIVERS\JakNDis.sys  File exists 
          "lbrtfdc" (lbrtfdc)      C:\WINDOOF\system32\drivers\lbrtfdc.sys  File not found 
          "MHIKEY10" (MHIKEY10)  "Generic USB smartcard reader"  C:\WINDOOF\System32\Drivers\MHIKEY10.sys  File exists 
  ||||||  "Microsoft UAA-Bustreiber für High Definition Audio" (HDAudBus)  "Windows (R) Server 2003 DDK provider"  C:\WINDOOF\System32\DRIVERS\HDAudBus.sys  File exists 
          "MSICPL" (MSICPL)      G:\install4\MSICPL.sys  File not found 
  ||||||  "NetGroup Packet Filter Driver" (NPF)  "CACE Technologies, Inc."  C:\WINDOOF\System32\drivers\npf.sys  File exists 
          "NTACCESS" (NTACCESS)      G:\NTACCESS.sys  File not found 
  ||||||  "nv" (nv)  "NVIDIA Corporation"  C:\WINDOOF\System32\DRIVERS\nv4_mini.sys  File exists 
  ||||||  "pavboot" (pavboot)  "Panda Security, S.L."  C:\WINDOOF\System32\drivers\pavboot.sys  File exists 
          "PCIDump" (PCIDump)      C:\WINDOOF\system32\drivers\PCIDump.sys  File not found 
          "PDCOMP" (PDCOMP)      C:\WINDOOF\system32\drivers\PDCOMP.sys  File not found 
          "PDFRAME" (PDFRAME)      C:\WINDOOF\system32\drivers\PDFRAME.sys  File not found 
          "PDRELI" (PDRELI)      C:\WINDOOF\system32\drivers\PDRELI.sys  File not found 
          "PDRFRAME" (PDRFRAME)      C:\WINDOOF\system32\drivers\PDRFRAME.sys  File not found 
  ||||||  "Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver" (RTLE8023xp)  "Realtek Semiconductor Corporation "  C:\WINDOOF\System32\DRIVERS\Rtenicxp.sys  File exists 
  ||||||  "Service for Realtek HD Audio (WDM)" (IntcAzAudAddService)  "Realtek Semiconductor Corp."  C:\WINDOOF\System32\drivers\RtkHDAud.sys  File exists 
          "SetupNTGLM7X" (SetupNTGLM7X)      G:\NTGLM7X.sys  File not found 
  ||||||  "ssmdrv" (ssmdrv)  "Avira GmbH"  C:\WINDOOF\System32\DRIVERS\ssmdrv.sys  File exists 
  ||||||  "TTUSB2BDA USB 2.0 Driver" (TTUSB2BDA)  "TechnoTrend AG"  C:\WINDOOF\System32\DRIVERS\ttusb2bda.sys  File exists 
          "WDICA" (WDICA)      C:\WINDOOF\system32\drivers\WDICA.sys  File not found 
Explorer 
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components 
          {7790769C-0471-11d2-AF11-00C04FA35D02} "Adressbuch 6"      "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install  File not found 
          {44BBA840-CC51-11CF-AAFA-00AA00B6015C} "Microsoft Outlook Express 6"      "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install  File not found 
  ||||||  {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath"  "Microsoft Corporation"  c:\WINDOOF\system32\Rundll32.exe c:\WINDOOF\system32\mscories.dll,Install  File exists 
HKLM\Software\Classes\Folder\shellex\ColumnHandlers 
  ||||||  {FED7043D-346A-414D-ACD7-550D052499A7} "dBpShell Class"  "Illustrate"  C:\Programme\AudioTools\dBpoweramp\dBShell.dll  File exists 
  ||||||  {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class"  "Nero AG"  C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll  File exists 
  ||||||  {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}"      C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll  File exists 
HKLM\Software\Classes\Protocols\Filter 
  ||||||  {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1"  "Microsoft Corporation"  C:\WINDOOF\system32\mscoree.dll  File exists 
  ||||||  {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1"  "Microsoft Corporation"  C:\WINDOOF\system32\mscoree.dll  File exists 
  ||||||  {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1"  "Microsoft Corporation"  C:\WINDOOF\system32\mscoree.dll  File exists 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved 
          {32714800-2E5F-11d0-8B85-00AA0044F941} "&Nach Personen..."        File not found | COM-object registry key not found 
  ||||||  {94586423-855F-4EB2-9F6A-D9DA5658DBE3} "Context menu"      C:\PROGRA~1\AUDIOT~1\FREEM4~1\m4a_menu.dll  File found, but it contains no detailed information 
          {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung"      deskpan.dll  File not found 
  ||||||  {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer"  "NVIDIA Corporation"  C:\WINDOOF\system32\nvshell.dll  File exists 
  ||||||  {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu"  "NVIDIA Corporation"  C:\WINDOOF\system32\nvshell.dll  File exists 
  ||||||  {A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class"  "NVIDIA Corporation"  C:\WINDOOF\system32\nvcpl.dll  File exists 
  ||||||  {2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} "dMCIShell Class"  "Illustrate"  C:\Programme\AudioTools\dBpoweramp\dMCShell.dll  File exists 
  ||||||  {8BE13461-936F-11D1-A87D-444553540000} "Eraser Shell Extension"  "-"  C:\WINDOOF\System32\erasext.dll  File exists 
          {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung"        File not found | COM-object registry key not found 
  ||||||  {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class"  "Nero AG"  C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll  File exists 
  ||||||  {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class"  "Nero AG"  C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll  File exists 
  ||||||  {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser"  "Nokia"  C:\Programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll  File exists 
  ||||||  {FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension"  "NVIDIA Corporation"  C:\WINDOOF\system32\nvcpl.dll  File exists 
  ||||||  {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu"  "NVIDIA Corporation"  C:\WINDOOF\system32\nvshell.dll  File exists 
  ||||||  {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler"      C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll  File exists 
  ||||||  {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler"      C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll  File exists 
  ||||||  {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler"      C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll  File exists 
  ||||||  {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer"      C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll  File exists 
  ||||||  {35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices"  "Microsoft Corporation"  C:\WINDOOF\system32\wpdshext.dll  File exists 
  ||||||  {D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu"  "Microsoft Corporation"  C:\WINDOOF\system32\wpdshext.dll  File exists 
  ||||||  {640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices"  "Microsoft Corporation"  C:\WINDOOF\system32\audiodev.dll  File exists 
  ||||||  {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning"  "Avira GmbH"  C:\Programme\Avira\AntiVir Desktop\shlext.dll  File exists 
  ||||||  {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References"  "Microsoft Corporation"  c:\WINDOOF\system32\dfshim.dll  File exists 
          {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung"        File not found | COM-object registry key not found 
  ||||||  {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References"  "Microsoft Corporation"  c:\WINDOOF\system32\dfshim.dll  File exists 
  ||||||  {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner"  "Microsoft Corporation"  C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\msonsext.dll  File exists 
  ||||||  {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR"      C:\Programme\WinRAR\rarext.dll  File exists 
  ||||||  {F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher"  "Microsoft Corporation"  C:\WINDOOF\system32\wmpshell.dll  File exists 
  ||||||  {8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher"  "Microsoft Corporation"  C:\WINDOOF\system32\wmpshell.dll  File exists 
  ||||||  {CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher"  "Microsoft Corporation"  C:\WINDOOF\system32\wmpshell.dll  File exists 
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 
  ||||||  {AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class"  "Microsoft Corporation"  C:\WINDOOF\system32\wpdshserviceobj.dll  File exists 
Internet Explorer 
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions 
  ||||    "HiDownload"  "StreamingStar Technology Inc."  C:\Programme\AudioTools\HiDownload\hidownload.exe  File exists 
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser 
          ITBar7Height "ITBar7Height"        File not found | COM-object registry key not found 
            "ITBar7Layout"        File not found | COM-object registry key not found 
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units 
  ||||||  {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} "ActiveScan 2.0 Installer Class"
hxxp://www.pandasecurity.com/activescan/cabs/as2stubie.cab  "Panda Security"  C:\WINDOOF\Downloaded Program Files\as2stubie.dll  File exists 
          {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab      C:\Programme\Java\jre1.6.0\bin\npjpi160.dll  File not found 
  ||||    {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_11"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab  "Sun Microsystems, Inc."  C:\Programme\InternetTools\Java\bin\npjpi160_11.dll  File exists 
  ||||    {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab  "Sun Microsystems, Inc."  C:\Programme\InternetTools\Java\bin\npjpi160_11.dll  File exists 
  ||||    {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab  "Sun Microsystems, Inc."  C:\Programme\InternetTools\Java\bin\npjpi160_11.dll  File exists 
          {8167C273-DF59-4416-B647-C8BB2C7EE83E} "{8167C273-DF59-4416-B647-C8BB2C7EE83E}"
hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab        File not found | COM-object registry key not found 
          {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}"
hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab        File not found | COM-object registry key not found 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar 
  ||      {AD6E6555-FB2C-47D4-8339-3E2965509877} "&TerraTec Home Cinema"  "TerraTec Electronic GmbH"  C:\PROGRA~1\VIDEOT~1\TERRAT~1\THCDES~1.DLL  File exists 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 
  ||||    {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper"  "Sun Microsystems, Inc."  C:\Programme\InternetTools\Java\bin\jp2ssv.dll  File exists 
  ||||    {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper"  "Sun Microsystems, Inc."  C:\Programme\InternetTools\Java\bin\ssv.dll  File exists 
  ||||    {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class"  "Sun Microsystems, Inc."  C:\Programme\InternetTools\Java\lib\deploy\jqs\ie\jqs_plugin.dll  File exists 
Logon 
%AllUsersProfile%\Startmenü\Programme\Autostart 
  ||||||  "desktop.ini"      C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini  File exists 
%UserProfile%\Startmenü\Programme\Autostart 
  ||||||  "desktop.ini"      C:\Dokumente und Einstellungen\Desktop\Startmenü\Programme\Autostart\desktop.ini  File exists 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
  ||||    "Eraser"  "The Eraser Project"  C:\Programme\Eraser\eraser.exe -hide  File exists 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
  ||||||  "avgnt"  "Avira GmbH"  "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min  File exists 
  ||||||  "NvCplDaemon"  "NVIDIA Corporation"  RUNDLL32.EXE C:\WINDOOF\system32\NvCpl.dll,NvStartup  File exists 
  ||||    "NvMediaCenter"  "NVIDIA Corporation"  RUNDLL32.EXE C:\WINDOOF\system32\NvMcTray.dll,NvTaskbarInit  File exists 
  ||||    "nwiz"  "NVIDIA Corporation"  nwiz.exe /install  File exists 
  ||||    "WinSys2"      C:\WINDOOF\system32\winsys2.exe  File exists 
Services 
HKLM\SYSTEM\CurrentControlSet\Services 
  ||||||  ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32)  "Microsoft Corporation"  C:\WINDOOF\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe  File exists 
  ||||||  "ASP.NET-Zustandsdienst" (aspnet_state)  "Microsoft Corporation"  C:\WINDOOF\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe  File exists 
          "Automatische Updates" (wuauserv)      C:\WINDOWS\system32\wuauserv.dll  File not found 
  ||||||  "Avira AntiVir Guard" (AntiVirService)  "Avira GmbH"  C:\Programme\Avira\AntiVir Desktop\avguard.exe  File exists 
  ||||||  "Avira AntiVir Planer" (AntiVirSchedulerService)  "Avira GmbH"  C:\Programme\Avira\AntiVir Desktop\sched.exe  File exists 
  ||||||  "Java Quick Starter" (JavaQuickStarterService)  "Sun Microsystems, Inc."  C:\Programme\InternetTools\Java\bin\jqs.exe  File exists 
  ||||||  "NVIDIA Display Driver Service" (NVSvc)  "NVIDIA Corporation"  C:\WINDOOF\system32\nvsvc32.exe  File exists 
  ||||||  "Portable Media Serial Number Service" (WmdmPmSN)  "Microsoft Corporation"  C:\WINDOOF\system32\mspmsnsv.dll  File exists 
  ||||||  "Remote Packet Capture Protocol v.0 (experimental)" (rpcapd)  "CACE Technologies, Inc."  C:\Programme\WinPcap\rpcapd.exe  File exists 
  ||||||  "ServiceLayer" (ServiceLayer)  "Nokia"  C:\Programme\PC Connectivity Solution\ServiceLayer.exe  File exists 
  ||||||  "Windows CardSpace" (idsvc)  "Microsoft Corporation"  C:\WINDOOF\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe  File exists 
  ||||    "Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc)  "Microsoft Corporation"  C:\Programme\Windows Media Player\WMPNetwk.exe  File exists 
  ||||||  "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0)  "Microsoft Corporation"  C:\WINDOOF\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe  File exists 
Winlogon 
HKCU\Control Panel\IOProcs 
          "MVB"      mvfs32.dll  File not found 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 
  ||||    "WgaLogon"  "Microsoft Corporation"  C:\WINDOOF\system32\WgaLogon.dll  File exists 

If You have questions or want to get some help, You can visit {hxxp://forum.online-solutions.ru}

Hier das Bootkit-Remover-Log:

Code:

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive2 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

    Size  Device Name          MBR Status
 --------------------------------------------
  465 GB  \\.\PhysicalDrive2  Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


cosinus 22.09.2010 08:58

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

sebi66 22.09.2010 16:46

(Noch als kurzer Zwischenstand: Windows Update ist wieder erreichbar, es gibt auch keine Popups mehr. Bekomme aber immer noch AntiVir-Meldungen aus dem Nichts).

Code:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0200007c

Kernel Drivers (total 118):
  0x804D7000 \WINDOOF\system32\ntkrnlpa.exe
  0x806E5000 \WINDOOF\system32\hal.dll
  0xBA5A8000 \WINDOOF\system32\KDCOM.DLL
  0xBA4B8000 \WINDOOF\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOOF\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 ohci1394.sys
  0xBA0B8000 \WINDOOF\system32\DRIVERS\1394BUS.SYS
  0xBA0C8000 isapnp.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOOF\system32\DRIVERS\PCIIDEX.SYS
  0xBA0D8000 MountMgr.sys
  0xB9F48000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F22000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA338000 pavboot.sys
  0xBA0E8000 VolSnap.sys
  0xB9F0A000 atapi.sys
  0xBA0F8000 disk.sys
  0xBA108000 \WINDOOF\system32\DRIVERS\CLASSPNP.SYS
  0xB9EEA000 fltmgr.sys
  0xB9ED8000 sr.sys
  0xB9EC1000 KSecDD.sys
  0xB9E34000 Ntfs.sys
  0xB9E07000 NDIS.sys
  0xB9DED000 Mup.sys
  0xBA188000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xBA198000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA574000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB999D000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA1A8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA428000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA430000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA438000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xB9979000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA440000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB9954000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA1B8000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBA1C8000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA448000 \SystemRoot\System32\Drivers\ElbyCDFL.sys
  0xBA1D8000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA1E8000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9931000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB9917000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
  0xB92D6000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB92C2000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA7C7000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA1F8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBA584000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB92AB000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA208000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA218000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA450000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB929A000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA228000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA458000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA460000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xBA238000 \SystemRoot\system32\DRIVERS\JakNDis.sys
  0xB926A000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xBA248000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA5D2000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB91E4000 \SystemRoot\system32\DRIVERS\update.sys
  0xBA5A0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB9A41000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB9A21000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA5D4000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB6BB5000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB6B91000 \SystemRoot\system32\drivers\portcls.sys
  0xB9A11000 \SystemRoot\system32\drivers\drmk.sys
  0xBA5DE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA716000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5E0000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA480000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xBA488000 \SystemRoot\System32\drivers\vga.sys
  0xBA5E2000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5E4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBA490000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBA498000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB9266000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB6B36000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB6ADD000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB6AB5000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB6A67000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB6A45000 \SystemRoot\System32\drivers\afd.sys
  0xB9A01000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB99F1000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xBA4A0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB6A1A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB99D1000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xB69AA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB99C1000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB698E000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA5EA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xBA5A4000 \SystemRoot\System32\Drivers\Aspi32.SYS
  0xBA2C8000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB694E000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBA620000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBA57C000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBA378000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA736000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB6582000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB6543000 \SystemRoot\system32\DRIVERS\WudfPf.sys
  0xB655A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xBA2D8000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0xB621E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB61E1000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB68DE000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBA5E8000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xBA5EC000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
  0xB604C000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB5C23000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOOF\system32\ntdll.dll

Processes (total 30):
      0 System Idle Process
      4 System
    1004 C:\WINDOOF\system32\smss.exe
    1080 csrss.exe
    1104 C:\WINDOOF\system32\winlogon.exe
    1148 C:\WINDOOF\system32\services.exe
    1160 C:\WINDOOF\system32\lsass.exe
    1368 C:\WINDOOF\system32\svchost.exe
    1436 svchost.exe
    1560 C:\WINDOOF\system32\svchost.exe
    1600 C:\WINDOOF\system32\svchost.exe
    1684 svchost.exe
    1876 svchost.exe
    160 C:\WINDOOF\system32\spoolsv.exe
    284 scardsvr.exe
    300 C:\Programme\Avira\AntiVir Desktop\sched.exe
    368 svchost.exe
    588 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    688 C:\Programme\InternetTools\Java\bin\jqs.exe
    736 C:\WINDOOF\system32\nvsvc32.exe
    884 C:\WINDOOF\system32\svchost.exe
    1760 C:\WINDOOF\explorer.exe
    532 C:\WINDOOF\system32\rundll32.exe
    528 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    540 C:\Programme\Eraser\Eraser.exe
    520 C:\WINDOOF\system32\rundll32.exe
    2392 alg.exe
    2804 C:\Programme\InternetTools\Opera\opera.exe
    2924 C:\WINDOOF\system32\svchost.exe
    3376 C:\Programme\InternetTools\Opera\profile\temporary_downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive3 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive2 Model Number: SAMSUNGHD501LJ, Rev: CR100-10
PhysicalDrive3 Model Number: SAMSUNGHD154UI, Rev: 1AG01113
PhysicalDrive1 Model Number: SAMSUNGHD203WI, Rev: 1AN10002
PhysicalDrive0 Model Number: SAMSUNGHD203WI, Rev: 1AN10003

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive2  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
  1397 GB  \\.\PhysicalDrive3  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
  1863 GB  \\.\PhysicalDrive1  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
  1863 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!


cosinus 22.09.2010 20:31

Zitat:

Bekomme aber immer noch AntiVir-Meldungen aus dem Nichts)
Die da genau wären?? :wtf:
Poste bitte Details, schau notfalls ins Log von AntiVir.

Code:

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive2  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
  1397 GB  \\.\PhysicalDrive3  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
  1863 GB  \\.\PhysicalDrive1  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
  1863 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Ist ok, da wurden keine manipulierten MBRs gefunden. :daumenhoc

sebi66 22.09.2010 21:08

Immer die gleiche Meldung:

In der Datei 'C:\System Volume Information\_restore{30C2B206-6383-48E0-B242-1B3BDCC5C514}\RP438\A0758776.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.3925.A' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

cosinus 22.09.2010 21:33

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19