Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   eMailpasswort gehackt, Probleme mit alles USB-Geräten immer wieder Funde durch Antivir (https://www.trojaner-board.de/94128-emailpasswort-gehackt-probleme-alles-usb-geraeten-immer-funde-antivir.html)

hilfebedarf 26.12.2010 15:03
eMailpasswort gehackt, Probleme mit alles USB-Geräten immer wieder Funde durch Antivir
 
Hallo, ich habe vor kurzem von w*w.web.de eine Mail erhalten, dass mein Passwort gehackt wurde, das ist der aktuelle Anlass, aus dem ich mich jetzt hier nach Hilfe umsehe.

Allerdings habe ich auch schon seit einiger Zeit das Problem, dass immer wieder Viren o.ä. gefunden werden, wenn ich USB-Sticks oder eine externe Festplatte anschließe. Das Problem besteht auch nach dem Formatieren noch, wahrscheinlich setzt das verschmutze System beim Formatieren gleich wieder was drauf?

Ebenfalls seit einiger Zeit finden Avira Antivir auch immer mal wieder etwas beim Systemscan.

Ich hoffe, dass mit jemand helfen kann und hänge die LogFiles als Archiv an.

Danke schon einmal!

cosinus 27.12.2010 12:33
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
Lass bei dem Vollscan auch alle ext. Platten und USB-Sticks scannen.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

hilfebedarf 27.12.2010 17:13
Hallo,

danke für die Hilfe! Die logs sind im Anhang, auch das aus meinem ersten Post nochmal!

LG

cosinus 27.12.2010 19:45
Zitat:
c:\xxx(5) software\age of empires dvd\AOE2CONQ\FR\GAME\EBUEULAX.DLL
Was genau ist das? Aus welcher Quelle?

hilfebedarf 28.12.2010 12:33
Die Quelle ist eine DVD mit Teilen der Age of Empires Reihe. Original von Microsoft... ich glaube das war so ein 10€ Teil aus einem Technikmarkt.

Gruß

cosinus 28.12.2010 19:06
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hilfebedarf 28.12.2010 20:23
hallo Arne,

soweit alles ausgeführt, das Logfile kommt hier:
Combofix Logfile:
Code:
ComboFix 10-12-26.01 - der papa 28.12.2010  20:07:40.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.654 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\der papa\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sjdfnhsjfk.exe
c:\sjdfnhsjfk.exe\config.bin

.
(((((((((((((((((((((((  Dateien erstellt von 2010-11-28 bis 2010-12-28  ))))))))))))))))))))))))))))))
.

2010-12-28 18:36 . 2010-12-28 18:36        --------        d-----w-        c:\programme\CCleaner
2010-12-26 13:56 . 2010-12-26 13:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2010-12-21 17:07 . 2010-12-21 17:07        --------        d-----w-        c:\programme\ERUNT
2010-12-21 11:01 . 2010-12-22 12:06        --------        d-----w-        c:\windows\system32\NtmsData
2010-12-14 19:37 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
2010-12-14 19:36 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
2010-12-08 22:02 . 2010-12-08 22:02        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü
2010-12-04 23:55 . 2010-12-04 23:55        --------        d-----w-        c:\dokumente und einstellungen\der papa\Lokale Einstellungen\Anwendungsdaten\Xenocode
2010-12-04 23:53 . 2010-12-04 23:53        --------        d-----w-        c:\dokumente und einstellungen\der papa\Anwendungsdaten\Kristanix Software
2010-12-04 16:02 . 2010-12-04 16:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2010-12-04 16:02 . 2010-12-04 16:02        --------        d-----w-        c:\dokumente und einstellungen\der papa\Anwendungsdaten\Canneverbe Limited
2010-12-04 16:02 . 2010-12-04 16:02        --------        d-----w-        c:\dokumente und einstellungen\der papa\Anwendungsdaten\Uniblue
2010-12-04 16:02 . 2010-12-04 16:02        --------        d-----w-        c:\programme\Uniblue
2010-12-04 16:01 . 2009-11-12 12:48        7168        ----a-w-        c:\windows\system32\drivers\StarOpen.sys
2010-12-04 16:01 . 2010-12-04 16:02        --------        d-----w-        c:\dokumente und einstellungen\der papa\Lokale Einstellungen\Anwendungsdaten\OpenCandy
2010-12-04 16:01 . 2010-12-04 16:01        --------        d-----w-        c:\dokumente und einstellungen\der papa\Anwendungsdaten\OpenCandy
2010-12-04 16:01 . 2010-12-04 16:01        --------        d-----w-        c:\programme\CDBurnerXP
2010-12-04 15:10 . 2010-12-04 15:10        --------        d-----w-        c:\dokumente und einstellungen\norman kuhr

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-25 23:15 . 2009-11-30 21:35        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-10-08 22:02        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-08 22:02        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-08 21:59 . 2009-11-30 21:35        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2009-09-06 01:07        86016        ----a-w-        c:\windows\system32\isign32.dll
2010-11-05 05:04 . 2006-02-28 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2006-02-28 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2006-02-28 12:00        81920        ----a-w-        c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2006-02-28 12:00        371200        ----a-w-        c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-02-28 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-02-28 12:00        290048        ----a-w-        c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-02-28 12:00        1853440        ----a-w-        c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-11-28 569413]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-18 149280]
"avgnt"="c:\programme\(1) security\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2005-11-28 09:41        602182        ----a-w-        c:\programme\Intel\Wireless\Bin\iFrmewrk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04        2879488        ----a-w-        c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2003-12-13 00:50        33792        ----a-w-        c:\programme\winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\(5) gaming\\anno1404\\Anno4.exe"=
"c:\\Programme\\(5) gaming\\anno1404\\tools\\Anno4Web.exe"=
"c:\\Programme\\(4) internet\\icq 6.5\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\(5) gaming\\age of empires\\age of empires II the age of kings\\age2_x1\\age2_x1.exe"=
"c:\\Programme\\(3) media\\vlc mediaplayer\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\(1) security\Avira\AntiVir Desktop\sched.exe [30.11.2009 22:35 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [26.05.2010 21:28 136176]
S3 AIDA32Driver;AIDA32Driver;\??\f:\(5) software\rechner\leistung\überprüfung\systemanalyse aida\aida32.sys --> f:\(5) software\rechner\leistung\überprüfung\systemanalyse aida\aida32.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09.09.2009 19:53 721904]
.
Inhalt des "geplante Tasks" Ordners

2010-12-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-26 20:28]

2010-12-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-26 20:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\(2)OFF~1\MICRIS~1\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\der papa\Anwendungsdaten\Mozilla\Firefox\Profiles\ot2obt5z.default\
FF - prefs.js: browser.startup.homepage - hxxps://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=zpwhtygjntrz&scc=1&ltmpl=googlemail|Startseite von Mozilla Firefox
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\(4) internet\firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\programme\(4) internet\firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-MobileConnect - %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-12-28 20:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-28  20:16:16
ComboFix-quarantined-files.txt  2010-12-28 19:16

Vor Suchlauf: 6 Verzeichnis(se), 76.459.560.960 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 76.516.413.440 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noguiboot

- - End Of File - - D57EFFB48DD242A06C930666BBF9A384
--- --- ---



LG

cosinus 28.12.2010 21:02
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

hilfebedarf 29.12.2010 01:24
so,

Antwort kommt recht spät, weil es beim ersten gemer-Scan einen Bluescreen gab...

hier das gemer-Log:

GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-29 01:00:54
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD1600BEVS-00RST0 rev.04.01G04
Running: gmer.exe; Driver: C:\DOKUME~1\DERPAP~1\LOKALE~1\Temp\pxtdqpoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7C4A176                                                                                                            ZwCreateKey
SSDT            F7C4A16C                                                                                                            ZwCreateThread
SSDT            F7C4A17B                                                                                                            ZwDeleteKey
SSDT            F7C4A185                                                                                                            ZwDeleteValueKey
SSDT            F7C4A18A                                                                                                            ZwLoadKey
SSDT            F7C4A158                                                                                                            ZwOpenProcess
SSDT            F7C4A15D                                                                                                            ZwOpenThread
SSDT            F7C4A194                                                                                                            ZwReplaceKey
SSDT            F7C4A18F                                                                                                            ZwRestoreKey
SSDT            F7C4A180                                                                                                            ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0xF6324300, 0x3B6D8, 0xE8000020]
.text          C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0xF7856300, 0x1BEE, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                            Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                            Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                C:\Programme\(5) gaming\daemon tools lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x97 0xF2 0x4D 0xDB ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                         
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                    0xB4 0x05 0xF1 0x96 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x89 0x80 0x6D 0xDA ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                    C:\Programme\(5) gaming\daemon tools lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                    0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x97 0xF2 0x4D 0xDB ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)     
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                        0xB4 0x05 0xF1 0x96 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x89 0x80 0x6D 0xDA ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                    C:\Programme\(5) gaming\daemon tools lite\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                    0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x97 0xF2 0x4D 0xDB ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)     
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                        0xB4 0x05 0xF1 0x96 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x89 0x80 0x6D 0xDA ...

---- EOF - GMER 1.0.15 ----
--- --- ---


dann das osam-Log:

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 01:08:15 on 29.12.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
"RTSndMgr.cpl" - "Realtek Semiconductor Corp." - C:\WINDOWS\system32\RTSndMgr.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\(1)SEC~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.4.9.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"AIDA32Driver" (AIDA32Driver) - ? - F:\(5) software\rechner\leistung\überprüfung\systemanalyse aida\aida32.sys  (File not found)
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\(1) security\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\DERPAP~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Conexant Setup API" (UIUSys) - "Conexant Systems, Inc" - C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS
"GEARAspiWDM" (GearAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\drivers\GEARAspiWDM.sys
"HSF_DPV" (HSF_DPV) - "Conexant Systems, Inc." - C:\WINDOWS\System32\DRIVERS\HSX_DPV.sys
"HSXHWAZL" (HSXHWAZL) - "Conexant Systems, Inc." - C:\WINDOWS\System32\DRIVERS\HSXHWAZL.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"mdmxsdk" (mdmxsdk) - "Conexant" - C:\WINDOWS\System32\DRIVERS\mdmxsdk.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"pxtdqpoc" (pxtdqpoc) - ? - C:\DOKUME~1\DERPAP~1\LOKALE~1\Temp\pxtdqpoc.sys  (Hidden registry entry, rootkit activity | File not found)
"SANDRA" (SANDRA) - ? - C:\Programme\6) system\sandra lite 2009.SP4\WNt500x86\Sandra.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"Synaptics TouchPad Driver" (SynTP) - "Synaptics, Inc." - C:\WINDOWS\System32\DRIVERS\SynTP.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"winachsf" (winachsf) - "Conexant Systems, Inc." - C:\WINDOWS\System32\DRIVERS\HSX_CNXT.sys
"WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys
"XAudio" (XAudio) - "Conexant Systems, Inc." - C:\WINDOWS\System32\DRIVERS\xaudio.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\(2) office\open office 3.1 2009\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\(2) office\micrisoft office xp 2002\Office10\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\(2) office\open office 3.1 2009\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\(2) office\open office 3.1 2009\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\(2) office\open office 3.1 2009\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\(2) office\open office 3.1 2009\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{1530F7EE-5128-43BD-9977-84A4B0FAD7DF} "PhotoToys" - "Microsoft Corporation" - C:\Programme\(3) media\image resizer\phototoys.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\(1) security\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{2F603045-309F-11CF-9774-0020AFD0CFF6} "Synaptics Control Panel" - "Synaptics, Inc." - C:\Programme\Synaptics\SynTP\SynTPCpl.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\(2) office\winrar\rarext.dll
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -  (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ6" - "ICQ, LLC." - C:\Programme\(4) internet\icq 6.5\ICQ6.5\ICQ.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\der papa\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ATICCC" - ? - "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"  (File found, but it contains no detailed information)
"avgnt" - "Avira GmbH" - "C:\Programme\(1) security\Avira\AntiVir Desktop\avgnt.exe" /min
"EOUApp" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
"IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
"SynTPEnh" - "Synaptics, Inc." - C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"EPSON Stylus Photo R240 Series 2KMonitor5E" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\E_FLMAHE.DLL

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\(1) security\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\(1) security\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NMSAccess" (NMSAccess) - ? - C:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"ScsiAccess" (ScsiAccess) - ? - C:\Programme\(3) media\prophotoshow\ScsiAccess.exe  (File found, but it contains no detailed information)
"Ulead Burning Helper" (UleadBurningHelper) - "Ulead Systems, Inc." - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"XAudioService" (XAudioService) - "Conexant Systems, Inc." - C:\WINDOWS\system32\DRIVERS\xaudio.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---



und zum Schluss die Ergebnisse von mbr:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 134):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7A16000 \WINDOWS\system32\KDCOM.DLL
0xF7926000 \WINDOWS\system32\BOOTVID.dll
0xF74C6000 ACPI.sys
0xF7A18000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74B5000 pci.sys
0xF7516000 ohci1394.sys
0xF7526000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7536000 isapnp.sys
0xF792A000 compbatt.sys
0xF792E000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7ADE000 pciide.sys
0xF7796000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7546000 MountMgr.sys
0xF7496000 ftdisk.sys
0xF7A1A000 dmload.sys
0xF7470000 dmio.sys
0xF7932000 ACPIEC.sys
0xF7ADF000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF779E000 PartMgr.sys
0xF7556000 VolSnap.sys
0xF7458000 atapi.sys
0xF7566000 disk.sys
0xF7576000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7438000 fltmgr.sys
0xF7426000 sr.sys
0xF7586000 PxHelp20.sys
0xF740F000 KSecDD.sys
0xF73FC000 WudfPf.sys
0xF736F000 Ntfs.sys
0xF7342000 NDIS.sys
0xF7328000 Mup.sys
0xF7746000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF79EA000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF6B72000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6B5E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6B36000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7866000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF655E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF786E000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7766000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF654A000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xF6523000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF7776000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7876000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF64F8000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7A32000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7786000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xF6482000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
0xF787E000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF75A6000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF75B6000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF75C6000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF645F000 \SystemRoot\system32\DRIVERS\ks.sys
0xF79F6000 \SystemRoot\System32\drivers\GEARAspiWDM.sys
0xF7B17000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF75D6000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF79FE000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6448000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75E6000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75F6000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7886000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6437000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7606000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF788E000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7896000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6407000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7616000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7A38000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF62BD000 \SystemRoot\system32\DRIVERS\update.sys
0xF72E7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7626000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEDE25000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xEDE01000 \SystemRoot\system32\drivers\portcls.sys
0xF7656000 \SystemRoot\system32\drivers\drmk.sys
0xEDDC4000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0xEDCC1000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0xEDC0D000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0xF78AE000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7666000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7A3C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7BBD000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A3E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF78CE000 \SystemRoot\System32\drivers\vga.sys
0xF7A40000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A42000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78D6000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78DE000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF79C2000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEDBB2000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEDB59000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEDB09000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEDAE3000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xEDAC1000 \SystemRoot\System32\drivers\afd.sys
0xF7676000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7686000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF78E6000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEDA96000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7696000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xEDA26000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF76A6000 \SystemRoot\System32\Drivers\Fips.SYS
0xED960000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7A46000 \??\C:\Programme\(1) security\Avira\AntiVir Desktop\avgio.sys
0xF7716000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xED920000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7A5C000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6295000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7916000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B37000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF055000 \SystemRoot\System32\ati2cqag.dll
0xBF09D000 \SystemRoot\System32\atikvmag.dll
0xBF0E3000 \SystemRoot\System32\ati3duag.dll
0xBF34A000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xEB5F3000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF7806000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xEB597000 \SystemRoot\system32\DRIVERS\s24trans.sys
0xEB57B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEB18E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEB151000 \SystemRoot\system32\drivers\wdmaud.sys
0xED9E6000 \SystemRoot\system32\drivers\sysaudio.sys
0xF6324000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xF7856000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xEB16A000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xF7177000 \SystemRoot\system32\DRIVERS\srv.sys
0xF789E000 \SystemRoot\system32\DRIVERS\xaudio.sys
0xBA473000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA0A8000 \??\C:\DOKUME~1\DERPAP~1\LOKALE~1\Temp\pxtdqpoc.sys
0xB9AC9000 \SystemRoot\system32\DRIVERS\NETw5x32.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
820 C:\WINDOWS\system32\smss.exe
884 csrss.exe
916 C:\WINDOWS\system32\winlogon.exe
960 C:\WINDOWS\system32\services.exe
972 C:\WINDOWS\system32\lsass.exe
1156 C:\WINDOWS\system32\ati2evxx.exe
1176 C:\WINDOWS\system32\svchost.exe
1276 svchost.exe
1332 C:\WINDOWS\system32\svchost.exe
1368 C:\WINDOWS\system32\svchost.exe
1412 C:\WINDOWS\system32\ati2evxx.exe
1524 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
1576 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
1632 svchost.exe
1800 svchost.exe
1884 C:\WINDOWS\explorer.exe
248 C:\WINDOWS\system32\spoolsv.exe
352 C:\Programme\(1) security\Avira\AntiVir Desktop\sched.exe
396 svchost.exe
880 C:\Programme\(1) security\Avira\AntiVir Desktop\avguard.exe
1204 C:\Programme\Java\jre6\bin\jqs.exe
1660 C:\Programme\CDBurnerXP\NMSAccessU.exe
1828 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
2040 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
564 C:\Programme\(1) security\Avira\AntiVir Desktop\avshadow.exe
604 C:\Programme\(3) media\prophotoshow\scsiaccess.exe
652 C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
716 C:\WINDOWS\RTHDCPL.exe
108 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
2116 C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
2276 C:\Programme\Java\jre6\bin\jusched.exe
2296 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2304 C:\Programme\(1) security\Avira\AntiVir Desktop\avgnt.exe
3152 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
3160 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2076 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2224 alg.exe
2760 C:\WINDOWS\system32\svchost.exe
3692 C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
3148 C:\Programme\(4) internet\firefox\firefox.exe
3372 C:\Dokumente und Einstellungen\der papa\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVS-00RST0, Rev: 04.01G04

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!



LG und gute Nacht:huepp:

cosinus 29.12.2010 10:58
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hilfebedarf 29.12.2010 18:51
so, hier kommen die neusten Logs... bei superantispyware hat es eine Bedrohung ergeben

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5415

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

29.12.2010 15:56:12
mbam-log-2010-12-29 (15-56-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 228795
Laufzeit: 47 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 12/29/2010 at 06:13 PM

Application Version : 4.47.1000

Core Rules Database Version : 6092
Trace Rules Database Version: 3815

Scan type : Complete Scan
Total Scan Time : 01:39:34

Memory items scanned : 693
Memory threats detected : 0
Registry items scanned : 6358
Registry threats detected : 0
File items scanned : 87412
File threats detected : 1

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{FD589758-BCD3-40FC-B634-D40888CA0C66}\RP179\A0097295.DLL

LG

hilfebedarf 29.12.2010 18:54
---Doppelpost---

hilfebedarf 29.12.2010 18:56
---Doppelpost---

cosinus 29.12.2010 20:16
Ist nur ein Überrest, harmlos.
Nun wieder alles paletti? ;)

hilfebedarf 29.12.2010 22:31
Zitat:
Zitat von cosinus (Beitrag 604080)
Nun wieder alles paletti? ;)
ja! Vielen Dank für deine Hilfe. Es ist doch schön, dass es hier so viele gibt, die einen durch diese Sch...e führen:heilig:

Zum Abschluss dann nur noch folgende Fragen:

Wenn ich meine USB-Geräte anschließe sind diese ja nicht sauber! Wie soll ich vorgehen, um nicht das ganze Sytem zu infizieren, bzw. ohne dass sich unbemerkt was einnistet? Ich müsste das Step by Step machen, weil es zu viele Geräte sind (Festplatten und USB-Sticks). Vor allem einige der Sticks, aber auch eine Festplatte könnte ich formatieren, die Daten auf den anderen brauche ich unbedingt. Ich habe aber schon alleine vorm Anschließen Angst.

Und dann folgendes: Welche Programme von denen bis jetzt verwendeten kann ich denn auch mal so zwischendurch laufen lassen, als Routinescan quasi

Danke :taenzer: Danke :taenzer: Danke

cosinus 29.12.2010 22:34
Deaktivier den Autorun aller Laufwerke, das verhindert, dass automatische Programme gestartet werden, wenn eine CD, ein Stick oder eine USB-Platte eingelegt/angesteckt werden.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Danach mit dem Flashdisfector drübergehen => Flash Disinfector – free autorun.inf trojans removal tool | My Anti Spyware

hilfebedarf 29.12.2010 22:44
ich habe auch noch einmal ein Archiv mit zwei Bildern angehängt.

Auf einem sind meine laufenden Prozesse zu sehen... das sieht komisch aus, oder? zum Beispiel so oft svchost.exe usw.

Und auf dem zweiten Bild sind Ordner und Dateien zu sehen, die während der ganzen Scans entstanden sind. Versschwinden diese wieder, wenn ich die Programme deinstalliere? Auch hier sehen die Namen recht seltsam aus...

Danke und LG

hilfebedarf 29.12.2010 22:54
wenn ich die noautoplay.regrunterladen will möchte die seite bei mir nur ein firefoxplugin installieren. ich glaube SearchAle toolbar.

an die Datei komme ich irgendwie nicht ran...

cosinus 29.12.2010 22:56
Liste der Anhänge anzeigen (Anzahl: 1)
Häh? :confused:
Auf file-upload kommst du? Kommt da schon die Werbung oder wenn du erst auf den download button klickst?

Edit: Nimm die reg ausm Anhang :pfeiff:

hilfebedarf 29.12.2010 23:18
die Werbung mit der Toolbar kam erst nach dem Downloadbutton.

Mit dem Anhang gings. Ich werde die USB-Geräte aber erst nächste Woche anhängen können, wenn ich wieder zu hause bin. Zur Zeit bin ich in einer anderen Stadt und habe nichts dabei.

Ich hänge auch noch einmal die beiden Bilder an, das habe ich vorhin vergessen...
Zitat:
Zitat von hilfebedarf (Beitrag 604204)
Auf einem sind meine laufenden Prozesse zu sehen... das sieht komisch aus, oder? zum Beispiel so oft svchost.exe usw.

Und auf dem zweiten Bild sind Ordner und Dateien zu sehen, die während der ganzen Scans entstanden sind. Versschwinden diese wieder, wenn ich die Programme deinstalliere? Auch hier sehen die Namen recht seltsam aus...

cosinus 30.12.2010 10:53
Was ist daran genau komisch? Der Windows-Explorer zeigt dir jetzt nur alle Dateien an, auch versteckte und geschützte Systemdateien.

hilfebedarf 08.01.2011 00:02
Oh Hallo,

hatte gar nicht gelesen, dass du schon geantwortet hattest - nicht mitbekommen, dass plötzlich eine dritte Seite da ist :headbang:

Na egal, mir kommt hauptsächlich der Anblick meiner laufenden Prozesse komisch vor. Sind die soweit normal?

LG


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131