Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google-Links führen zu falschen Seiten, Tabs öffnen sich selbstständig im Hintergrund (https://www.trojaner-board.de/96868-google-links-fuehren-falschen-seiten-tabs-oeffnen-selbststaendig-hintergrund.html)

michi266 26.03.2011 11:58

Google-Links führen zu falschen Seiten, Tabs öffnen sich selbstständig im Hintergrund
 
Hallo liebes Trojaner-Board,

auch bei mir hat sich irgendetwas eingeschlichen, was mich von Google aus auf falsche Seiten, meist sexuellen Inhalts, schickt. Zudem öffnen sich beim surfen selbstständig Tabs im Hintergrund, meistens irgendwelche Shopping-Seiten,auf denen ich noch nie zuvor war. :eek:

Auf der Suche nach einer Lösung bin ich hier im Forum nun schon auf einige Fälle gestoßen, wo ja anscheinend in etwa das gleiche Problem vorliegt. Allerdings werden in jedem Thema dazu andere Lösungsvorgänge vorgeschlagen (soweit für mich ersichtlich), daher eröffne ich hier mal mein eigenes Thema mit Hoffnung auf Hilfe...

Ich hab nach den ersten Anweisungen zur Eröffnung eines Themas Malwarebytes Anti-Malware und OTL laufen lassen, Malwarebytes hat auch was gefunden und erfolgreich entfernen können. Logs sind angehängt...

Ist das Thema nun erledigt, oder muss ich noch weitere Schritte unternehmen?

Vorab schon mal ein ganz großes :dankeschoen: für eure Hilfe!

cosinus 26.03.2011 21:34

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

michi266 27.03.2011 08:45

Hallo Arne,

Ja, da sind noch mehr, siehe Anhang...

Wusste nicht das die auch relevant sind,
da Malwarebytes zwischendurch upgedated wurde.

Danke!

cosinus 27.03.2011 20:03

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 9666
O4 - HKLM..\Run: []  File not found
[2011.03.25 20:13:41 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EBDD7DE0-D012-47DF-859B-DB1061E2D512}
[2011.03.21 22:25:01 | 000,000,128 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796r
[2011.03.21 22:25:01 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796
[2011.03.21 22:24:58 | 000,000,344 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19455796
[2011.03.21 22:25:01 | 000,000,128 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796r
[2011.03.21 22:25:01 | 000,000,104 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796
[2011.03.21 22:24:58 | 000,000,344 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19455796
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

michi266 27.03.2011 22:31

OK, hat geklappt:

Code:

All processes killed
========== OTL ==========
Prefs.js: "localhost" removed from network.proxy.http
Prefs.js: 9666 removed from network.proxy.http_port
Prefs.js: "localhost" removed from network.proxy.socks
Prefs.js: 9050 removed from network.proxy.socks_port
Prefs.js: true removed from network.proxy.socks_remote_dns
Prefs.js: "localhost" removed from network.proxy.ssl
Prefs.js: 9666 removed from network.proxy.ssl_port
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EBDD7DE0-D012-47DF-859B-DB1061E2D512} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796r moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19455796 moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796r not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19455796 not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19455796 not found.
========== COMMANDS ==========
C:\WINXP\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 48312121 bytes
->Flash cache emptied: 25989 bytes
 
User: user
->Temp folder emptied: 655150208 bytes
->Temporary Internet Files folder emptied: 12415678 bytes
->Java cache emptied: 29863327 bytes
->FireFox cache emptied: 99449253 bytes
->Flash cache emptied: 7299 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 32975 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 441542943 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.227,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 03272011_230637

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\srv974.tmp moved successfully.

Registry entries deleted on Reboot...


cosinus 28.03.2011 08:51

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

michi266 28.03.2011 16:15

Alles geklappt, hier das Log:

Code:

ComboFix 11-03-27.02 - user 28.03.2011  17:02:01.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.668 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\programme\pdfforge Toolbar\IE\4.3\pdFForgetoolbarie.dll
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
(((((((((((((((((((((((  Dateien erstellt von 2011-02-28 bis 2011-03-28  ))))))))))))))))))))))))))))))
.
.
2011-03-27 21:06 . 2011-03-27 21:06        --------        d-----w-        C:\_OTL
2011-03-25 17:56 . 2011-03-25 17:56        --------        d-----w-        c:\programme\CCleaner
2011-03-25 17:17 . 2011-03-26 10:19        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\Pnpfree
2011-03-22 19:20 . 2011-03-18 17:56        142296        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-03-22 19:20 . 2011-03-18 17:56        781272        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-22 19:20 . 2011-03-18 17:56        728024        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-22 19:20 . 2011-03-18 17:56        1975768        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-22 19:20 . 2011-03-18 17:56        1893336        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-22 19:20 . 2011-03-18 17:56        1874904        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2011-03-22 19:20 . 2011-03-18 17:56        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-22 19:20 . 2011-03-18 17:56        142296        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2011-03-21 22:57 . 2010-12-20 17:09        38224        ----a-w-        c:\winxp\system32\drivers\mbamswissarmy.sys
2011-03-21 22:57 . 2011-03-21 22:57        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-03-21 22:57 . 2010-12-20 17:08        20952        ----a-w-        c:\winxp\system32\drivers\mbam.sys
2011-03-21 22:48 . 2011-03-21 22:48        --------        d-----w-        c:\winxp\system32\wbem\Repository
2011-03-21 22:20 . 2011-03-21 22:54        --------        d-----w-        c:\programme\GridinSoft Trojan Killer
2011-03-21 22:02 . 2011-03-21 22:02        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes
2011-03-21 22:02 . 2011-03-21 22:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-21 21:44 . 2011-03-25 18:30        --------        d-----w-        c:\winxp\system32\NtmsData
2011-03-18 11:03 . 2011-03-18 11:05        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\GetRightToGo
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-16 16:49 . 2010-01-12 13:03        137656        ----a-w-        c:\winxp\system32\drivers\avipbb.sys
2011-02-09 13:53 . 2008-04-14 11:00        270848        ----a-w-        c:\winxp\system32\sbe.dll
2011-02-09 13:53 . 2008-04-14 11:00        186880        ----a-w-        c:\winxp\system32\encdec.dll
2011-01-21 14:42 . 2008-04-14 11:00        441344        ----a-w-        c:\winxp\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-14 11:00        290048        ----a-w-        c:\winxp\system32\atmfd.dll
2010-12-31 14:02 . 2009-11-10 17:46        1864192        ----a-w-        c:\winxp\system32\win32k.sys
2010-06-02 04:22 . 2010-06-02 04:22        89944        ----a-w-        c:\programme\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22        537432        ----a-w-        c:\programme\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22        1801048        ----a-w-        c:\programme\dsetup32.dll
2011-03-18 17:56 . 2011-03-22 19:20        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-15 10:33        2515552        ----a-w-        c:\programme\DVDVideoSoftTB\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2009-11-09 17:38        2331672        ----a-w-        c:\programme\DVDVideoSoft\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedswitchXP"="c:\programme\SpeedswitchXP\SpeedswitchXP.exe" [2006-07-14 626688]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Tweak UI"="TWEAKUI.CPL" [2000-06-18 106544]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 761946]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-01-13 37888]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srv974]
@="service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37        932288        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2006-06-28 23:00        89541        ----a-w-        c:\winxp\AGRSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2006-03-07 23:00        69632        ----a-w-        c:\winxp\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2006-10-05 23:00        114688        ----a-w-        c:\winxp\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50        155648        ----a-w-        c:\winxp\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2006-10-05 23:00        94208        ----a-w-        c:\winxp\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-03-07 23:00        16010240        ----a-w-        c:\winxp\RTHDCPL.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R0 Lbd;Lbd;c:\winxp\system32\drivers\Lbd.sys [25.03.2011 21:40 64512]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [12.01.2010 15:03 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.01.2010 15:03 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [12.01.2010 15:03 421032]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [28.01.2011 18:10 387072]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [15.01.2010 14:23 247096]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.03.2011 12:08 1405384]
R3 AVMCOWAN;AVMCOWAN;c:\winxp\system32\drivers\avmcowan.sys [30.01.2010 22:33 53632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\winxp\system32\drivers\fuj02e3.sys [17.01.2004 01:00 4864]
S2 srv974;srv974;c:\winxp\system32\svchost.exe -k netsvcs [14.04.2008 13:00 14336]
S3 fxusbase;Eumex 400;c:\winxp\system32\drivers\fxusbase.sys [30.01.2010 22:33 567936]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.03.2011 12:08 15232]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
srv974
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-28 c:\winxp\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-03-03 10:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://vshare.toolbarhome.com/?hp=df
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\gj489p7p.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections-per-server - 8
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Ad-Aware - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EBDD7DE0-D012-47DF-859B-DB1061E2D512}\Ad-Aware90Install.exe
AddRemove-{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EBDD7DE0-D012-47DF-859B-DB1061E2D512}\Ad-Aware90Install.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-28 17:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\srv974]
"servicedll"="\\?\globalroot\Device\HarddiskVolume1\DOKUME~1\user\LOKALE~1\Temp\srv974.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1796)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2011-03-28  17:10:15
ComboFix-quarantined-files.txt  2011-03-28 15:10
.
Vor Suchlauf: 6 Verzeichnis(se), 35.411.365.888 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 35.387.547.648 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30
.
- - End Of File - - 97400D69245DAE123A62BFD5F226C0E0


cosinus 28.03.2011 19:13

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\srv974]

File::
%tmp%\Temp\srv974.tmp

Driver::
srv974

Netsvc::
srv974

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

michi266 29.03.2011 16:54

Hallo Arne,

hier das Log:

Code:

ComboFix 11-03-27.02 - user 29.03.2011  17:40:50.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.656 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\user\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
AV: Lavasoft Ad-Watch Live! Virenschutz *Enabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
FILE ::
"c:\dokume~1\user\LOKALE~1\Temp\Temp\srv974.tmp"
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SRV974
-------\Service_srv974
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-02-28 bis 2011-03-29  ))))))))))))))))))))))))))))))
.
.
2011-03-28 14:49 . 2011-03-28 15:10        --------        d-----w-        C:\cofi
2011-03-27 21:06 . 2011-03-27 21:06        --------        d-----w-        C:\_OTL
2011-03-25 17:56 . 2011-03-25 17:56        --------        d-----w-        c:\programme\CCleaner
2011-03-25 17:17 . 2011-03-26 10:19        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\Pnpfree
2011-03-22 19:20 . 2011-03-18 17:56        142296        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-03-22 19:20 . 2011-03-18 17:56        781272        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-22 19:20 . 2011-03-18 17:56        728024        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-22 19:20 . 2011-03-18 17:56        1975768        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-22 19:20 . 2011-03-18 17:56        1893336        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-22 19:20 . 2011-03-18 17:56        1874904        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2011-03-22 19:20 . 2011-03-18 17:56        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-22 19:20 . 2011-03-18 17:56        142296        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2011-03-21 22:57 . 2010-12-20 17:09        38224        ----a-w-        c:\winxp\system32\drivers\mbamswissarmy.sys
2011-03-21 22:57 . 2011-03-21 22:57        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-03-21 22:57 . 2010-12-20 17:08        20952        ----a-w-        c:\winxp\system32\drivers\mbam.sys
2011-03-21 22:48 . 2011-03-21 22:48        --------        d-----w-        c:\winxp\system32\wbem\Repository
2011-03-21 22:20 . 2011-03-21 22:54        --------        d-----w-        c:\programme\GridinSoft Trojan Killer
2011-03-21 22:02 . 2011-03-21 22:02        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes
2011-03-21 22:02 . 2011-03-21 22:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-21 21:44 . 2011-03-25 18:30        --------        d-----w-        c:\winxp\system32\NtmsData
2011-03-18 11:03 . 2011-03-18 11:05        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\GetRightToGo
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-16 16:49 . 2010-01-12 13:03        137656        ----a-w-        c:\winxp\system32\drivers\avipbb.sys
2011-02-09 13:53 . 2008-04-14 11:00        270848        ----a-w-        c:\winxp\system32\sbe.dll
2011-02-09 13:53 . 2008-04-14 11:00        186880        ----a-w-        c:\winxp\system32\encdec.dll
2011-01-21 14:42 . 2008-04-14 11:00        441344        ----a-w-        c:\winxp\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-14 11:00        290048        ----a-w-        c:\winxp\system32\atmfd.dll
2010-12-31 14:02 . 2009-11-10 17:46        1864192        ----a-w-        c:\winxp\system32\win32k.sys
2010-06-02 04:22 . 2010-06-02 04:22        89944        ----a-w-        c:\programme\DSETUP.dll
2010-06-02 04:22 . 2010-06-02 04:22        537432        ----a-w-        c:\programme\DXSETUP.exe
2010-06-02 04:22 . 2010-06-02 04:22        1801048        ----a-w-        c:\programme\dsetup32.dll
2011-03-18 17:56 . 2011-03-22 19:20        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((  SnapShot@2011-03-28_15.08.32  )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-03-29 15:47 . 2011-03-29 15:47        16384              c:\winxp\Temp\Perflib_Perfdata_274.dat
+ 2010-01-11 12:43 . 2011-03-29 15:33        32768              c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2010-01-11 12:43 . 2011-03-25 21:25        32768              c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-01-11 12:43 . 2011-03-29 15:33        32768              c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2010-01-11 12:43 . 2011-03-25 21:25        32768              c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2011-03-29 15:33 . 2011-03-29 15:33        16384              c:\winxp\system32\config\systemprofile\Cookies\index.dat
- 2010-01-11 12:43 . 2011-03-25 21:25        16384              c:\winxp\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-15 10:33        2515552        ----a-w-        c:\programme\DVDVideoSoftTB\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2009-11-09 17:38        2331672        ----a-w-        c:\programme\DVDVideoSoft\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedswitchXP"="c:\programme\SpeedswitchXP\SpeedswitchXP.exe" [2006-07-14 626688]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Tweak UI"="TWEAKUI.CPL" [2000-06-18 106544]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 761946]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-01-13 37888]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srv974]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37        932288        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2006-06-28 23:00        89541        ----a-w-        c:\winxp\AGRSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2006-03-07 23:00        69632        ----a-w-        c:\winxp\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2006-10-05 23:00        114688        ----a-w-        c:\winxp\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50        155648        ----a-w-        c:\winxp\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2006-10-05 23:00        94208        ----a-w-        c:\winxp\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-03-07 23:00        16010240        ----a-w-        c:\winxp\RTHDCPL.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R0 Lbd;Lbd;c:\winxp\system32\drivers\Lbd.sys [25.03.2011 21:40 64512]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [12.01.2010 15:03 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.01.2010 15:03 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [12.01.2010 15:03 421032]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [28.01.2011 18:10 387072]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [15.01.2010 14:23 247096]
R3 AVMCOWAN;AVMCOWAN;c:\winxp\system32\drivers\avmcowan.sys [30.01.2010 22:33 53632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\winxp\system32\drivers\fuj02e3.sys [17.01.2004 01:00 4864]
S3 fxusbase;Eumex 400;c:\winxp\system32\drivers\fxusbase.sys [30.01.2010 22:33 567936]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.03.2011 12:08 1405384]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.03.2011 12:08 15232]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-29 c:\winxp\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-03-03 10:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://vshare.toolbarhome.com/?hp=df
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\gj489p7p.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections-per-server - 8
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{043C5167-00BB-4324-AF7E-62013FAEDACF} - (no file)
BHO-{B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-29 17:47
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1828)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(3736)
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\winxp\system32\HPZipm12.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-29  17:50:44 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-03-29 15:50
ComboFix2.txt  2011-03-28 15:10
.
Vor Suchlauf: 8 Verzeichnis(se), 35.188.486.144 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 35.121.864.704 Bytes frei
.
- - End Of File - - E69E09BBB21F33ABCE6225D48C90A359


cosinus 29.03.2011 17:02

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

michi266 29.03.2011 17:27

Code:

2011/03/29 18:22:30.0171 3268        TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/29 18:22:32.0171 3268        ================================================================================
2011/03/29 18:22:32.0171 3268        SystemInfo:
2011/03/29 18:22:32.0171 3268       
2011/03/29 18:22:32.0171 3268        OS Version: 5.1.2600 ServicePack: 3.0
2011/03/29 18:22:32.0171 3268        Product type: Workstation
2011/03/29 18:22:32.0171 3268        ComputerName: FSC-S
2011/03/29 18:22:32.0171 3268        UserName: user
2011/03/29 18:22:32.0171 3268        Windows directory: C:\WINXP
2011/03/29 18:22:32.0171 3268        System windows directory: C:\WINXP
2011/03/29 18:22:32.0171 3268        Processor architecture: Intel x86
2011/03/29 18:22:32.0171 3268        Number of processors: 2
2011/03/29 18:22:32.0171 3268        Page size: 0x1000
2011/03/29 18:22:32.0171 3268        Boot type: Normal boot
2011/03/29 18:22:32.0171 3268        ================================================================================
2011/03/29 18:22:32.0484 3268        Initialize success
2011/03/29 18:22:40.0281 1956        ================================================================================
2011/03/29 18:22:40.0281 1956        Scan started
2011/03/29 18:22:40.0281 1956        Mode: Manual;
2011/03/29 18:22:40.0281 1956        ================================================================================
2011/03/29 18:22:40.0937 1956        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINXP\system32\DRIVERS\ACPI.sys
2011/03/29 18:22:40.0984 1956        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINXP\system32\DRIVERS\ACPIEC.sys
2011/03/29 18:22:41.0062 1956        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINXP\system32\drivers\aec.sys
2011/03/29 18:22:41.0125 1956        AFD            (4d43e74f2a1239d53929b82600f1971c) C:\WINXP\System32\drivers\afd.sys
2011/03/29 18:22:41.0234 1956        AgereSoftModem  (90456051c422e09bc36e6340dd891f0c) C:\WINXP\system32\DRIVERS\AGRSM.sys
2011/03/29 18:22:41.0546 1956        Arp1394        (b5b8a80875c1dededa8b02765642c32f) C:\WINXP\system32\DRIVERS\arp1394.sys
2011/03/29 18:22:41.0656 1956        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINXP\system32\DRIVERS\asyncmac.sys
2011/03/29 18:22:41.0734 1956        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINXP\system32\DRIVERS\atapi.sys
2011/03/29 18:22:41.0765 1956        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINXP\system32\DRIVERS\atmarpc.sys
2011/03/29 18:22:41.0828 1956        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINXP\system32\DRIVERS\audstub.sys
2011/03/29 18:22:41.0937 1956        avgio          (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/03/29 18:22:42.0000 1956        avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\WINXP\system32\DRIVERS\avgntflt.sys
2011/03/29 18:22:42.0093 1956        avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\WINXP\system32\DRIVERS\avipbb.sys
2011/03/29 18:22:42.0140 1956        AVMCOWAN        (0bcb6b3df2e248c8e8f2ffc6f58d1341) C:\WINXP\system32\DRIVERS\AVMCOWAN.sys
2011/03/29 18:22:42.0203 1956        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINXP\system32\drivers\Beep.sys
2011/03/29 18:22:42.0250 1956        BrScnUsb        (92a964547b96d697e5e9ed43b4297f5a) C:\WINXP\system32\DRIVERS\BrScnUsb.sys
2011/03/29 18:22:42.0296 1956        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINXP\system32\drivers\cbidf2k.sys
2011/03/29 18:22:42.0343 1956        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINXP\system32\drivers\Cdaudio.sys
2011/03/29 18:22:42.0390 1956        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINXP\system32\drivers\Cdfs.sys
2011/03/29 18:22:42.0468 1956        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINXP\system32\DRIVERS\cdrom.sys
2011/03/29 18:22:42.0546 1956        CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINXP\system32\DRIVERS\CmBatt.sys
2011/03/29 18:22:42.0609 1956        Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINXP\system32\DRIVERS\compbatt.sys
2011/03/29 18:22:42.0718 1956        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINXP\system32\DRIVERS\disk.sys
2011/03/29 18:22:42.0812 1956        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINXP\system32\drivers\dmboot.sys
2011/03/29 18:22:42.0875 1956        dmio            (53720ab12b48719d00e327da470a619a) C:\WINXP\system32\drivers\dmio.sys
2011/03/29 18:22:42.0906 1956        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINXP\system32\drivers\dmload.sys
2011/03/29 18:22:42.0953 1956        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINXP\system32\drivers\DMusic.sys
2011/03/29 18:22:43.0015 1956        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINXP\system32\drivers\drmkaud.sys
2011/03/29 18:22:43.0093 1956        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINXP\system32\drivers\Fastfat.sys
2011/03/29 18:22:43.0156 1956        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINXP\system32\drivers\Fdc.sys
2011/03/29 18:22:43.0171 1956        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINXP\system32\drivers\Fips.sys
2011/03/29 18:22:43.0203 1956        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINXP\system32\drivers\Flpydisk.sys
2011/03/29 18:22:43.0265 1956        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINXP\system32\DRIVERS\fltMgr.sys
2011/03/29 18:22:43.0328 1956        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINXP\system32\drivers\Fs_Rec.sys
2011/03/29 18:22:43.0421 1956        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINXP\system32\DRIVERS\ftdisk.sys
2011/03/29 18:22:43.0468 1956        FUJ02B1        (00845dcd64fe6348ddf7890c310c17b9) C:\WINXP\system32\DRIVERS\FUJ02B1.sys
2011/03/29 18:22:43.0500 1956        FUJ02E3        (ef9f310f86fd504afcdcedf8280091fb) C:\WINXP\system32\DRIVERS\FUJ02E3.sys
2011/03/29 18:22:43.0609 1956        fxusbase        (4a51f6de41cf9fe72a5893d80504e998) C:\WINXP\system32\DRIVERS\fxusbase.sys
2011/03/29 18:22:43.0671 1956        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINXP\system32\DRIVERS\msgpc.sys
2011/03/29 18:22:43.0718 1956        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINXP\system32\DRIVERS\HDAudBus.sys
2011/03/29 18:22:43.0796 1956        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINXP\system32\DRIVERS\hidusb.sys
2011/03/29 18:22:43.0875 1956        HPZid412        (9f1d80908658eb7f1bf70809e0b51470) C:\WINXP\system32\DRIVERS\HPZid412.sys
2011/03/29 18:22:43.0890 1956        HPZipr12        (f7e3e9d50f9cd3de28085a8fdaa0a1c3) C:\WINXP\system32\DRIVERS\HPZipr12.sys
2011/03/29 18:22:43.0921 1956        HPZius12        (cf1b7951b4ec8d13f3c93b74bb2b461b) C:\WINXP\system32\DRIVERS\HPZius12.sys
2011/03/29 18:22:43.0984 1956        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINXP\system32\Drivers\HTTP.sys
2011/03/29 18:22:44.0093 1956        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINXP\system32\DRIVERS\i8042prt.sys
2011/03/29 18:22:44.0187 1956        ialm            (6fcb904910da07c9dc2593d66438fa29) C:\WINXP\system32\DRIVERS\igxpmp32.sys
2011/03/29 18:22:44.0312 1956        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINXP\system32\DRIVERS\imapi.sys
2011/03/29 18:22:44.0609 1956        IntcAzAudAddService (64be56b8858ca0153c725c720ffd194f) C:\WINXP\system32\drivers\RtkHDAud.sys
2011/03/29 18:22:44.0968 1956        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINXP\system32\DRIVERS\intelppm.sys
2011/03/29 18:22:45.0046 1956        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINXP\system32\DRIVERS\Ip6Fw.sys
2011/03/29 18:22:45.0125 1956        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINXP\system32\DRIVERS\ipfltdrv.sys
2011/03/29 18:22:45.0171 1956        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINXP\system32\DRIVERS\ipinip.sys
2011/03/29 18:22:45.0203 1956        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINXP\system32\DRIVERS\ipnat.sys
2011/03/29 18:22:45.0250 1956        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINXP\system32\DRIVERS\ipsec.sys
2011/03/29 18:22:45.0296 1956        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINXP\system32\DRIVERS\irenum.sys
2011/03/29 18:22:45.0328 1956        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINXP\system32\DRIVERS\isapnp.sys
2011/03/29 18:22:45.0359 1956        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINXP\system32\DRIVERS\kbdclass.sys
2011/03/29 18:22:45.0390 1956        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINXP\system32\DRIVERS\kbdhid.sys
2011/03/29 18:22:45.0437 1956        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINXP\system32\drivers\kmixer.sys
2011/03/29 18:22:45.0515 1956        KSecDD          (c6ebf1d6ad71df30db49b8d3287e1368) C:\WINXP\system32\drivers\KSecDD.sys
2011/03/29 18:22:45.0656 1956        Lavasoft Kernexplorer (6c4a3804510ad8e0f0c07b5be3d44ddb) C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys
2011/03/29 18:22:45.0703 1956        Lbd            (336abe8721cbc3110f1c6426da633417) C:\WINXP\system32\DRIVERS\Lbd.sys
2011/03/29 18:22:45.0765 1956        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINXP\system32\drivers\mnmdd.sys
2011/03/29 18:22:45.0812 1956        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINXP\system32\drivers\Modem.sys
2011/03/29 18:22:45.0843 1956        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINXP\system32\DRIVERS\mouclass.sys
2011/03/29 18:22:45.0906 1956        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINXP\system32\DRIVERS\mouhid.sys
2011/03/29 18:22:45.0953 1956        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINXP\system32\drivers\MountMgr.sys
2011/03/29 18:22:46.0000 1956        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINXP\system32\DRIVERS\mrxdav.sys
2011/03/29 18:22:46.0109 1956        MRxSmb          (d09b9f0b9960dd41e73127b7814c115f) C:\WINXP\system32\DRIVERS\mrxsmb.sys
2011/03/29 18:22:46.0171 1956        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINXP\system32\drivers\Msfs.sys
2011/03/29 18:22:46.0218 1956        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINXP\system32\drivers\MSKSSRV.sys
2011/03/29 18:22:46.0250 1956        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINXP\system32\drivers\MSPCLOCK.sys
2011/03/29 18:22:46.0281 1956        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINXP\system32\drivers\MSPQM.sys
2011/03/29 18:22:46.0328 1956        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINXP\system32\DRIVERS\mssmbios.sys
2011/03/29 18:22:46.0390 1956        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINXP\system32\drivers\Mup.sys
2011/03/29 18:22:46.0453 1956        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINXP\system32\drivers\NDIS.sys
2011/03/29 18:22:46.0500 1956        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINXP\system32\DRIVERS\ndistapi.sys
2011/03/29 18:22:46.0546 1956        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINXP\system32\DRIVERS\ndisuio.sys
2011/03/29 18:22:46.0562 1956        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINXP\system32\DRIVERS\ndiswan.sys
2011/03/29 18:22:46.0625 1956        NDProxy        (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINXP\system32\drivers\NDProxy.sys
2011/03/29 18:22:46.0687 1956        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINXP\system32\DRIVERS\netbios.sys
2011/03/29 18:22:46.0750 1956        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINXP\system32\DRIVERS\netbt.sys
2011/03/29 18:22:46.0890 1956        NETw3x32        (e2f396f71a793a04839dbb6af304a026) C:\WINXP\system32\DRIVERS\NETw3x32.sys
2011/03/29 18:22:47.0031 1956        NIC1394        (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINXP\system32\DRIVERS\nic1394.sys
2011/03/29 18:22:47.0078 1956        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINXP\system32\drivers\Npfs.sys
2011/03/29 18:22:47.0125 1956        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINXP\system32\drivers\Ntfs.sys
2011/03/29 18:22:47.0187 1956        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINXP\system32\drivers\Null.sys
2011/03/29 18:22:47.0234 1956        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINXP\system32\DRIVERS\nwlnkflt.sys
2011/03/29 18:22:47.0250 1956        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINXP\system32\DRIVERS\nwlnkfwd.sys
2011/03/29 18:22:47.0296 1956        ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINXP\system32\DRIVERS\ohci1394.sys
2011/03/29 18:22:47.0343 1956        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINXP\system32\drivers\Parport.sys
2011/03/29 18:22:47.0390 1956        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINXP\system32\drivers\PartMgr.sys
2011/03/29 18:22:47.0421 1956        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINXP\system32\drivers\ParVdm.sys
2011/03/29 18:22:47.0453 1956        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINXP\system32\DRIVERS\pci.sys
2011/03/29 18:22:47.0515 1956        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINXP\system32\DRIVERS\pciide.sys
2011/03/29 18:22:47.0578 1956        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINXP\system32\DRIVERS\pcmcia.sys
2011/03/29 18:22:47.0765 1956        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINXP\system32\DRIVERS\raspptp.sys
2011/03/29 18:22:47.0796 1956        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINXP\system32\DRIVERS\psched.sys
2011/03/29 18:22:47.0843 1956        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINXP\system32\DRIVERS\ptilink.sys
2011/03/29 18:22:47.0890 1956        PxHelp20        (153d02480a0a2f45785522e814c634b6) C:\WINXP\system32\Drivers\PxHelp20.sys
2011/03/29 18:22:48.0015 1956        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINXP\system32\DRIVERS\rasacd.sys
2011/03/29 18:22:48.0078 1956        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINXP\system32\DRIVERS\rasl2tp.sys
2011/03/29 18:22:48.0093 1956        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINXP\system32\DRIVERS\raspppoe.sys
2011/03/29 18:22:48.0140 1956        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINXP\system32\DRIVERS\raspti.sys
2011/03/29 18:22:48.0203 1956        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINXP\system32\DRIVERS\rdbss.sys
2011/03/29 18:22:48.0250 1956        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINXP\system32\DRIVERS\RDPCDD.sys
2011/03/29 18:22:48.0296 1956        rdpdr          (15cabd0f7c00c47c70124907916af3f1) C:\WINXP\system32\DRIVERS\rdpdr.sys
2011/03/29 18:22:48.0343 1956        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINXP\system32\drivers\RDPWD.sys
2011/03/29 18:22:48.0421 1956        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINXP\system32\DRIVERS\redbook.sys
2011/03/29 18:22:48.0515 1956        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINXP\system32\DRIVERS\secdrv.sys
2011/03/29 18:22:48.0609 1956        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINXP\system32\drivers\Serial.sys
2011/03/29 18:22:48.0640 1956        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINXP\system32\drivers\Sfloppy.sys
2011/03/29 18:22:48.0734 1956        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINXP\system32\drivers\splitter.sys
2011/03/29 18:22:48.0796 1956        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINXP\system32\DRIVERS\sr.sys
2011/03/29 18:22:48.0875 1956        Srv            (70cd8b8dd2a680b128617c19eb0ab94f) C:\WINXP\system32\DRIVERS\srv.sys
2011/03/29 18:22:48.0953 1956        ssmdrv          (5ec550b8952882ee856b862cf648522d) C:\WINXP\system32\DRIVERS\ssmdrv.sys
2011/03/29 18:22:49.0000 1956        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINXP\system32\DRIVERS\swenum.sys
2011/03/29 18:22:49.0046 1956        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINXP\system32\drivers\swmidi.sys
2011/03/29 18:22:49.0171 1956        SynTP          (f8393bdfb6726a0f97dd23aa54f3087d) C:\WINXP\system32\DRIVERS\SynTP.sys
2011/03/29 18:22:49.0218 1956        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINXP\system32\drivers\sysaudio.sys
2011/03/29 18:22:49.0312 1956        Tcpip          (ad978a1b783b5719720cff204b666c8e) C:\WINXP\system32\DRIVERS\tcpip.sys
2011/03/29 18:22:49.0359 1956        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINXP\system32\drivers\TDPIPE.sys
2011/03/29 18:22:49.0406 1956        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINXP\system32\drivers\TDTCP.sys
2011/03/29 18:22:49.0437 1956        TermDD          (88155247177638048422893737429d9e) C:\WINXP\system32\DRIVERS\termdd.sys
2011/03/29 18:22:49.0546 1956        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINXP\system32\drivers\Udfs.sys
2011/03/29 18:22:49.0625 1956        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINXP\system32\DRIVERS\update.sys
2011/03/29 18:22:49.0703 1956        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINXP\system32\DRIVERS\usbccgp.sys
2011/03/29 18:22:49.0750 1956        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINXP\system32\DRIVERS\usbehci.sys
2011/03/29 18:22:49.0765 1956        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINXP\system32\DRIVERS\usbhub.sys
2011/03/29 18:22:49.0796 1956        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINXP\system32\DRIVERS\usbprint.sys
2011/03/29 18:22:49.0812 1956        usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINXP\system32\DRIVERS\usbscan.sys
2011/03/29 18:22:49.0875 1956        USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINXP\system32\DRIVERS\USBSTOR.SYS
2011/03/29 18:22:49.0921 1956        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINXP\system32\DRIVERS\usbuhci.sys
2011/03/29 18:22:49.0984 1956        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINXP\System32\drivers\vga.sys
2011/03/29 18:22:50.0031 1956        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINXP\system32\drivers\VolSnap.sys
2011/03/29 18:22:50.0093 1956        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINXP\system32\DRIVERS\wanarp.sys
2011/03/29 18:22:50.0171 1956        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINXP\system32\drivers\wdmaud.sys
2011/03/29 18:22:50.0296 1956        WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINXP\system32\DRIVERS\wpdusb.sys
2011/03/29 18:22:50.0359 1956        WS2IFSL        (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINXP\System32\drivers\ws2ifsl.sys
2011/03/29 18:22:50.0437 1956        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINXP\system32\DRIVERS\WudfPf.sys
2011/03/29 18:22:50.0515 1956        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINXP\system32\DRIVERS\wudfrd.sys
2011/03/29 18:22:50.0578 1956        yukonwxp        (05d48e56ea2612d39a4e7f0ecc17b917) C:\WINXP\system32\DRIVERS\yk51x86.sys
2011/03/29 18:22:50.0796 1956        ================================================================================
2011/03/29 18:22:50.0796 1956        Scan finished
2011/03/29 18:22:50.0796 1956        ================================================================================
2011/03/29 18:24:22.0093 3756        Deinitialize success


cosinus 29.03.2011 18:59

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

michi266 29.03.2011 21:35

Jepp, hier die 3 Logs:

GMER
Code:

GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-03-29 22:21:26
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e ST98823AS rev.3.04
Running: 2v7g8op9.exe; Driver: C:\DOKUME~1\user\LOKALE~1\Temp\kgtdypow.sys


---- System - GMER 1.0.15 ----

SSDT            F7CB712E                                                                                    ZwCreateKey
SSDT            F7CB7124                                                                                    ZwCreateThread
SSDT            F7CB7133                                                                                    ZwDeleteKey
SSDT            F7CB713D                                                                                    ZwDeleteValueKey
SSDT            F7CB715B                                                                                    ZwLoadDriver
SSDT            F7CB7142                                                                                    ZwLoadKey
SSDT            F7CB7110                                                                                    ZwOpenProcess
SSDT            F7CB7115                                                                                    ZwOpenThread
SSDT            F7CB714C                                                                                    ZwReplaceKey
SSDT            F7CB7147                                                                                    ZwRestoreKey
SSDT            F7CB7160                                                                                    ZwSetSystemInformation
SSDT            F7CB7138                                                                                    ZwSetValueKey
SSDT            F7CB711F                                                                                    ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?              C:\cofi18123c\catchme.sys                                                                  Das System kann den angegebenen Pfad nicht finden. !
?              C:\WINXP\system32\Drivers\PROCEXP113.SYS                                                    Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\explorer.exe [KERNEL32.dll!GetProcAddress]          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3736] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

OSAM:
Code:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:30:18 on 29.03.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 4.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINXP\system32\lsdelete.exe  (File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"Ad-Aware Update (Weekly).job" - "Lavasoft Limited                                                      " - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINXP\system32\javacpl.cpl
"TWEAKUI.CPL" - "Microsoft Corporation" - C:\WINXP\system32\TWEAKUI.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Professional - Konfiguration" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi18123c\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINXP\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINXP\system32\drivers\i2omgmt.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File found, but it contains no detailed information)
"Lbd" (Lbd) - "Lavasoft AB" - C:\WINXP\System32\DRIVERS\Lbd.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINXP\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINXP\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINXP\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINXP\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINXP\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINXP\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINXP\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINXP\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} "vsharechrome" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "DVDVideoSoft Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVDV.dll
<binary data> "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoft Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVDV.dll
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
"PokerStars.net" - "PokerStars" - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoft Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVDV.dll
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoft Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVDV.dll
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{043C5167-00BB-4324-AF7E-62013FAEDACF} "{043C5167-00BB-4324-AF7E-62013FAEDACF}" - ? -  (File not found | COM-object registry key not found)
{B922D405-6D13-4A2B-AE89-08A030DA4402} "{B922D405-6D13-4A2B-AE89-08A030DA4402}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpeedswitchXP" - "Christian Diefer" - C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"ControlCenter3" - "Brother Industries, Ltd." - C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
"IndexSearch" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
"PaperPort PTD" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
"PPort11reminder" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
"SearchSettings" - "Spigot, Inc." - "C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe"
"SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"Tweak UI" - "Microsoft Corporation" - RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
"WinampAgent" - "Nullsoft, Inc." - C:\Programme\Winamp\winampa.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINXP\system32\mdimon.dll
"PDFCreator" - ? - C:\WINXP\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Application Updater" (Application Updater) - "Spigot, Inc." - C:\Programme\Application Updater\ApplicationUpdater.exe
"Automatische Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir MailGuard" (AntiVirMailService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft Limited" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINXP\system32\HPZipm12.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBR:
Code:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0000001c

Kernel Drivers (total 124):
  0x804D7000 \WINXP\system32\ntkrnlpa.exe
  0x806E6000 \WINXP\system32\hal.dll
  0xF7ABC000 \WINXP\system32\KDCOM.DLL
  0xF79CC000 \WINXP\system32\BOOTVID.dll
  0xF748C000 ACPI.sys
  0xF7ABE000 \WINXP\system32\DRIVERS\WMILIB.SYS
  0xF747B000 pci.sys
  0xF75BC000 isapnp.sys
  0xF75CC000 ohci1394.sys
  0xF75DC000 \WINXP\system32\DRIVERS\1394BUS.SYS
  0xF79D0000 compbatt.sys
  0xF79D4000 \WINXP\system32\DRIVERS\BATTC.SYS
  0xF7B84000 pciide.sys
  0xF783C000 \WINXP\system32\DRIVERS\PCIIDEX.SYS
  0xF745D000 pcmcia.sys
  0xF75EC000 MountMgr.sys
  0xF743E000 ftdisk.sys
  0xF79D8000 ACPIEC.sys
  0xF7B85000 \WINXP\system32\DRIVERS\OPRGHDLR.SYS
  0xF7844000 PartMgr.sys
  0xF75FC000 VolSnap.sys
  0xF7426000 atapi.sys
  0xF760C000 disk.sys
  0xF761C000 \WINXP\system32\DRIVERS\CLASSPNP.SYS
  0xF7406000 fltMgr.sys
  0xF73F4000 sr.sys
  0xF762C000 Lbd.sys
  0xF763C000 PxHelp20.sys
  0xF73DD000 KSecDD.sys
  0xF73CA000 WudfPf.sys
  0xF733D000 Ntfs.sys
  0xF7310000 NDIS.sys
  0xF72F6000 Mup.sys
  0xF77EC000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF68D3000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
  0xF68BF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF6897000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF685A000 \SystemRoot\system32\DRIVERS\yk51x86.sys
  0xF66B8000 \SystemRoot\system32\DRIVERS\NETw3x32.sys
  0xF78F4000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF6694000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF78FC000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF77FC000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF7AD0000 \SystemRoot\system32\DRIVERS\FUJ02B1.sys
  0xF780C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7904000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF6665000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xF7AD2000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF790C000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF781C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF782C000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF765C000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF6642000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7AD4000 \SystemRoot\system32\DRIVERS\FUJ02E3.sys
  0xF7AB4000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF766C000 \SystemRoot\system32\DRIVERS\AVMCOWAN.sys
  0xF7C02000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF767C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7AB8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF662B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF768C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF769C000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7914000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF661A000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF76AC000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF791C000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7924000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF65EA000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF6A84000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7AD6000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF658C000 \SystemRoot\system32\DRIVERS\update.sys
  0xF72AE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF6A74000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF6A54000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xAA38D000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xAA369000 \SystemRoot\system32\drivers\portcls.sys
  0xF6A44000 \SystemRoot\system32\drivers\drmk.sys
  0xAA24D000 \SystemRoot\system32\DRIVERS\AGRSM.sys
  0xF792C000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF7ADA000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7CF1000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7ADC000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF794C000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF7954000 \SystemRoot\System32\drivers\vga.sys
  0xF7ADE000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7AE0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF795C000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7964000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7AA4000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xAA1CA000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xAA171000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xAA149000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xAA123000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF6584000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xAA101000 \SystemRoot\System32\drivers\afd.sys
  0xF6A24000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF796C000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF6A14000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xAA0D6000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xAA066000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF6A04000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF69F4000 \SystemRoot\System32\Drivers\Fips.SYS
  0xA9F78000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7AE4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF76EC000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA9F60000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7AE8000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xAA23D000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7984000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7BAA000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF024000 \SystemRoot\System32\igxpgd32.dll
  0xBF012000 \SystemRoot\System32\igxprd32.dll
  0xBF04D000 \SystemRoot\System32\igxpdv32.DLL
  0xBF1AE000 \SystemRoot\System32\igxpdx32.DLL
  0xA9E0B000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xA9E28000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA9B86000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xA9B49000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA9CEB000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA970B000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA9382000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINXP\system32\ntdll.dll

Processes (total 39):
      0 System Idle Process
      4 System
    1484 C:\WINXP\system32\smss.exe
    1620 csrss.exe
    1772 C:\WINXP\system32\winlogon.exe
    1816 C:\WINXP\system32\services.exe
    1828 C:\WINXP\system32\lsass.exe
    140 C:\WINXP\system32\svchost.exe
    224 svchost.exe
    292 C:\WINXP\system32\svchost.exe
    396 C:\WINXP\system32\svchost.exe
    536 svchost.exe
    564 svchost.exe
    828 C:\WINXP\system32\spoolsv.exe
    936 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1024 svchost.exe
    1296 C:\WINXP\explorer.exe
    1388 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1516 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    1524 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    1540 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
    1736 C:\Programme\Winamp\winampa.exe
    1744 C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
    1752 C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
    1792 C:\Programme\Brother\ControlCenter3\BrccMCtl.exe
    1912 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    436 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    592 C:\Programme\Application Updater\ApplicationUpdater.exe
    656 C:\Programme\ICQ6Toolbar\ICQ Service.exe
    708 C:\Programme\Java\jre6\bin\jqs.exe
    908 C:\WINXP\system32\HPZipm12.exe
    1040 C:\WINXP\system32\svchost.exe
    1240 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    2924 C:\Programme\Avira\AntiVir Desktop\avmailc.exe
    2936 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
    3776 alg.exe
    1708 wmiprvse.exe
    2300 C:\Programme\Mozilla Firefox\firefox.exe
    1116 C:\Dokumente und Einstellungen\user\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`22e3ee00  (NTFS)

PhysicalDrive0 Model Number: ST98823AS, Rev: 3.04   

      Size  Device Name          MBR Status
  --------------------------------------------
    74 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!


cosinus 30.03.2011 11:29

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

michi266 30.03.2011 20:18

Hallo Arne,

haben beide nichts gefunden:

Code:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6215

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.03.2011 16:14:36
mbam-log-2011-03-30 (16-14-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 176970
Laufzeit: 31 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 03/30/2011 bei 05:54 PM

Version der Applikation : 4.50.1002

Version der Kern-Datenbank : 6708
Version der Spur-Datenbank : 4520

Scan Art      : kompletter Scann
Totale Scann-Zeit : 00:39:16

Gescannte Speicherelemente  : 481
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5790
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 40572
Erfasste Datei-Elemente  : 0



Alle Zeitangaben in WEZ +1. Es ist jetzt 11:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131