Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BDS/Hupigon.cddf in avscan.exe, avcenter.exe, und weitere (https://www.trojaner-board.de/96939-bds-hupigon-cddf-avscan-exe-avcenter-exe.html)

Ajoo 29.03.2011 00:34
BDS/Hupigon.cddf in avscan.exe, avcenter.exe, und weitere
 
Hi,

mein Antivir hat mir folgende Meldungen gebracht:


Zitat:
In der Datei 'C:\Dokumente und Einstellungen\****Lokale Einstellungen\Temp\jar_cache8687948459604272093.tmp'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben


In der Datei 'C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18\4a2b9f92-52a635ae'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben


In der Datei 'C:\Programme\Avira\AntiVir Desktop\guardgui.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Programme\Avira\AntiVir Desktop\avscan.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Programme\Avira\AntiVir Desktop\avcenter.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

n der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\turbo\g_0046\opr00W8Z.tmp'
wurde ein Virus oder unerwünschtes Programm 'BDS/Hupigon.cddf' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben
Leider waren am Abend zuvor einige Freunde bei mir, so dass ich nicht genau nachvollziehen kann wie die Infektion stattfand, könnte sowohl vom Internet, als auch von 2 Usb.Sticks kommen.

Nachdem ich die Meldungen bekam habe ich die temporären Dateien gelöscht, und den PC heruntergefahren.

Seitdem findet mein Antivir nichts mehr.

XP-Updates sind von Juni 2010. Ich sollte vlt. noch erwähnen, dass ich im moment nur 56k zur Verfügung habe.

Hier noch die Scans.

MfG und schon mal Danke


OTL Logfile:
Code:
OTL Extras logfile created on: 28.03.2011 23:03:45 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\****\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 1534 1534 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 7,28 Gb Free Space | 29,84% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 7,12 Gb Free Space | 29,17% Space Free | Partition Type: NTFS
Drive F: | 100,21 Gb Total Space | 54,79 Gb Free Space | 54,67% Space Free | Partition Type: NTFS
 
Computer Name: **** | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\opera.exe" "%1" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" "%1" (Opera Software)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Qtracker\qtracker.exe" = C:\Programme\Qtracker\qtracker.exe:*:Enabled:Qtracker -- (Ronald E. Mercer)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"F:\Games\Mass Effect\Binaries\MassEffect.exe" = F:\Games\Mass Effect\Binaries\MassEffect.exe:*:Enabled:Mass Effect Game -- (BioWare)
"F:\Games\Mass Effect\MassEffectLauncher.exe" = F:\Games\Mass Effect\MassEffectLauncher.exe:*:Enabled:Mass Effect Launcher -- (BioWare)
"E:\Program Files\Miranda IM\miranda32.exe" = E:\Program Files\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )
"F:\Games\rainbow six\Binaries\R6Vegas2_Game.exe" = F:\Games\rainbow six\Binaries\R6Vegas2_Game.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 -- ()
"F:\Games\rainbow six\Binaries\R6Vegas2_Launcher.exe" = F:\Games\rainbow six\Binaries\R6Vegas2_Launcher.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 Update -- (Ubisoft)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner
"{1B0FBB9A-995D-47cd-87CD-13E68B676E4F}" = Mass Effect
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 24
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}" = Battlefield 1942
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C9E270CC-AE42-4BD8-B9C6-1EB3A8657FF5}" = Just Cause 1.00.0000
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}" = GTA San Andreas
"{D7A6C517-11F2-419F-B5BB-27772B939698}" = NvMixer
"{FD416706-875C-4B0B-A23A-9E740DAE029E}" = Tom Clancy's Rainbow Six Vegas 2
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"EA Installer.-950654576" = EA Installer
"ERUNT_is1" = ERUNT 1.1j
"Foxit Reader" = Foxit Reader
"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 6.2
"FUSSBALL MANAGER 11" = FUSSBALL MANAGER 11
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"MySSID_is1" = EXPERTool 7.17
"NirSoft VideoCacheView" = NirSoft VideoCacheView
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"Opera 11.01.1190" = Opera 11.01
"PokerStars" = PokerStars
"PunkBusterSvc" = PunkBuster Services
"Qtracker" = Qtracker
"WIC" = Windows Imaging Component
"WinRAR archiver" = WinRAR
"WUV20" = Windows Update Agent 2.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.02.2011 19:01:57 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 17.02.2011 19:50:50 | Computer Name = NIX-18C8ED75A4F | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Bei der Zertifikatsverkettung ist ein interner
Fehler aufgetreten. .
 
Error - 19.02.2011 20:12:28 | Computer Name = NIX-18C8ED75A4F | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Bei der Zertifikatsverkettung ist ein interner
Fehler aufgetreten. .
 
Error - 21.02.2011 01:06:31 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 21.02.2011 21:55:51 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 28.02.2011 03:14:18 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung opera.exe, Version 11.1.1190.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 28.02.2011 03:14:18 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung opera.exe, Version 11.1.1190.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.03.2011 01:17:07 | Computer Name = NIX-18C8ED75A4F | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager11.exe, Version 1.0.0.0, fehlgeschlagenes
Modul manager11.exe, Version 1.0.0.0, Fehleradresse 0x00115033.
 
Error - 16.03.2011 01:41:07 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung opera.exe, Version 11.1.1190.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 22.03.2011 21:37:06 | Computer Name = NIX-18C8ED75A4F | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.2649, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 27.03.2011 20:36:45 | Computer Name = NIX-18C8ED75A4F | Source = VolSnap | ID = 393226
Description = Die Schattenkopie von Volume "E:" hat das Installationszeitlimit überschritten.
 
Error - 28.03.2011 13:47:04 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:
%%183
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrA" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrB" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:42:47 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrA" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "PnkBstrB" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 28.03.2011 16:57:49 | Computer Name = NIX-18C8ED75A4F | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
 
< End of report >
--- --- ---





OTL Logfile:
Code:
OTL logfile created on: 28.03.2011 23:03:45 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\****\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 1534 1534 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 7,28 Gb Free Space | 29,84% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 7,12 Gb Free Space | 29,17% Space Free | Partition Type: NTFS
Drive F: | 100,21 Gb Total Space | 54,79 Gb Free Space | 54,67% Space Free | Partition Type: NTFS
 
Computer Name: NIX-18C8ED75A4F | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.03.28 22:53:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mit_Rechten\Desktop\OTL.exe
PRC - [2011.03.17 02:05:57 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.02.22 17:29:34 | 002,265,416 | ---- | M] (Gainward Co.) -- C:\Programme\EXPERTool\TBPANEL.exe
PRC - [2011.02.14 05:38:11 | 000,943,472 | ---- | M] (Opera Software) -- C:\Programme\Opera\opera.exe
PRC - [2010.11.09 20:09:44 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.11.09 20:09:44 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.10.29 15:49:28 | 000,249,064 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.01.14 23:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2001.08.18 05:54:48 | 000,024,064 | ---- | M] (Creative Technology Ltd.) -- C:\WINDOWS\system32\devldr32.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.03.28 22:53:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe
MOD - [2004.08.04 14:00:00 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2011.03.17 02:05:57 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.09 20:09:44 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.03.17 02:06:06 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.23 16:10:52 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.11.07 02:00:10 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2009.05.11 13:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 11:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)
DRV - [2004.06.03 11:40:46 | 000,079,360 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys -- (nvatabus)
DRV - [2004.05.25 16:58:04 | 000,396,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvapu.sys -- (nvnforce) Service for NVIDIA(R) nForce(TM)
DRV - [2004.05.25 16:58:02 | 000,048,640 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvax.sys -- (nvax) Service for NVIDIA(R) nForce(TM)
DRV - [2004.04.02 16:40:00 | 000,021,760 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys -- (nv_agp)
DRV - [2004.01.29 02:45:50 | 000,093,764 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENET.sys -- (NVENET)
DRV - [2001.08.17 13:19:34 | 000,036,480 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sfmanm.sys -- (sfman) Creative-SoundFont-Verwaltungstreiber (WDM)
DRV - [2001.08.17 13:19:28 | 000,006,912 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctlfacem.sys -- (emu10k1) Creative-Schnittstellen-Verwaltungstreiber (WDM)
DRV - [2001.08.17 13:19:26 | 000,283,904 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emu10k1m.sys -- (emu10k) Creative SB Live! (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\components [2011.03.25 00:43:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\plugins [2011.03.25 00:43:15 | 000,000,000 | ---D | M]
 
[2011.02.13 20:21:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Extensions
[2011.03.28 01:44:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\t3md8nfv.default\extensions
[2011.02.14 01:59:51 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\t3md8nfv.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.02.14 05:51:54 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\t3md8nfv.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.03.23 11:03:13 | 000,000,000 | ---D | M] (Java Console) -- C:\DOKUMENTE UND EINSTELLUNGEN\****\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2010.11.12 04:28:01 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [GAINWARD] C:\Programme\EXPERTool\TBPanel.exe (Gainward Co.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.07 01:49:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (54619756233228288)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.03.28 23:02:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.03.28 23:01:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.03.28 23:01:12 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.03.28 22:34:21 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Dokumente und Einstellungen\****\Desktop\Erunt-setup.exe
[2011.03.28 22:34:21 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe
[2011.03.28 22:34:21 | 000,446,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\TFC.exe
[2011.03.28 19:54:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\backups
[2011.03.28 19:50:39 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\****\Desktop\HiJackThis204.exe
[2011.03.28 02:06:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.03.28 02:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Free M4a to MP3 Converter
[2011.03.28 01:49:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2011.03.27 03:32:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\VA-The_Roots_of_Dubstep-TEMPACD007-CD-2006-bASS
[2011.03.27 03:32:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Texas Funk
[2011.03.27 03:32:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Mobb Deep
[2011.03.27 03:32:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Ricardo Villalobos
[2011.03.27 03:32:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Midwest Funk
[2011.03.27 03:32:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Immortal Technique
[2011.03.27 03:32:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Florida Funk
[2011.03.27 03:31:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Carolina Funk mp3
[2011.03.27 01:17:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Amon Tobin
[2011.03.23 11:03:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2011.03.23 09:03:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EXPERTool
[2011.03.23 09:03:45 | 000,000,000 | ---D | C] -- C:\Programme\EXPERTool
[2011.03.23 08:55:53 | 000,061,440 | ---- | C] (Khronos Group) -- C:\WINDOWS\System32\OpenCL.dll
[2011.03.23 04:56:52 | 000,000,000 | ---D | C] -- C:\Programme\OpenAL
[2011.03.23 04:27:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Eigene Dateien\JustCause
[2011.03.23 04:16:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Eidos
[2011.03.23 03:55:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
[2011.03.23 03:38:19 | 000,000,000 | -HSD | C] -- C:\WINDOWS\ftpcache
[2011.03.15 03:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\GetRightToGo
[2011.03.15 03:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads
 
========== Files - Modified Within 30 Days ==========
 
[2011.03.28 23:01:13 | 000,000,601 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\NTREGOPT.lnk
[2011.03.28 23:01:13 | 000,000,582 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\ERUNT.lnk
[2011.03.28 23:01:00 | 000,000,238 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2011.03.28 22:59:43 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2011.03.28 22:59:28 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.03.28 22:59:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.28 22:54:25 | 000,301,568 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\g2m3e4r.exe
[2011.03.28 22:53:54 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Dokumente und Einstellungen\****\Desktop\Erunt-setup.exe
[2011.03.28 22:53:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe
[2011.03.28 22:53:21 | 000,446,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\TFC.exe
[2011.03.28 22:41:55 | 000,000,148 | ---- | M] () -- C:\Dokumente und Einstellungen\****\defogger_reenable
[2011.03.28 22:40:42 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Defogger.exe
[2011.03.28 22:33:20 | 000,377,280 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Load.exe
[2011.03.28 22:18:00 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.03.28 19:51:33 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\****\Desktop\HiJackThis204.exe
[2011.03.27 15:18:57 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.03.27 15:18:57 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.03.27 15:18:57 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.03.27 15:18:57 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.03.24 22:32:12 | 000,240,656 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.03.24 22:32:12 | 000,240,656 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.03.24 22:32:12 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.03.23 09:03:28 | 000,784,342 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Setup32_EXPERTool_NV_7_17.zip
[2011.03.23 08:56:26 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\nvdrswr.lk
[2011.03.23 05:34:04 | 000,444,952 | ---- | M] (Creative Labs) -- C:\WINDOWS\System32\wrap_oal.dll
[2011.03.23 04:56:38 | 000,590,434 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\oalinst.zip
[2011.03.23 04:30:03 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.19 01:37:17 | 000,842,622 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Speyer_braun_hogenberg.jpeg
[2011.03.17 02:06:06 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.03.16 05:00:45 | 000,000,611 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\FUSSBALL MANAGER 11.lnk
[2011.03.15 03:13:26 | 000,000,641 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Battlefield 1942.lnk
[2011.03.13 13:36:01 | 000,009,241 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Anleitung.html
 
========== Files Created - No Company Name ==========
 
[2011.03.28 23:01:13 | 000,000,601 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\NTREGOPT.lnk
[2011.03.28 23:01:13 | 000,000,582 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\ERUNT.lnk
[2011.03.28 22:41:53 | 000,000,148 | ---- | C] () -- C:\Dokumente und Einstellungen\****\defogger_reenable
[2011.03.28 22:40:41 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Defogger.exe
[2011.03.28 22:34:21 | 000,301,568 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\g2m3e4r.exe
[2011.03.28 22:32:54 | 000,377,280 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Load.exe
[2011.03.23 09:01:45 | 000,784,342 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Setup32_EXPERTool_NV_7_17.zip
[2011.03.23 08:56:28 | 000,240,656 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.03.23 08:56:26 | 000,240,656 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.03.23 08:56:26 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.03.23 08:56:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nvdrswr.lk
[2011.03.23 08:55:53 | 002,293,194 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2011.03.23 08:55:50 | 000,003,739 | ---- | C] () -- C:\WINDOWS\System32\nvinfo.pb
[2011.03.23 04:55:42 | 000,590,434 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\oalinst.zip
[2011.03.19 01:37:17 | 000,842,622 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Speyer_braun_hogenberg.jpeg
[2011.03.13 13:41:20 | 000,009,241 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Anleitung.html
[2011.02.13 20:21:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.01.17 04:25:55 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys
[2011.01.17 04:25:38 | 002,337,865 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe
[2010.11.12 17:25:21 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.10 22:58:40 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2010.11.10 22:58:36 | 000,107,832 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2010.11.10 22:58:28 | 000,066,872 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2010.11.07 20:56:15 | 000,000,532 | ---- | C] () -- C:\WINDOWS\eReg.dat
[2010.11.07 01:51:44 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.11.07 01:46:56 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.11.07 01:46:31 | 000,271,264 | ---- | C] () -- C:\WINDOWS\System32\vbrun100.dll
[2004.08.04 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 14:00:00 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,448,470 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,432,356 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,079,910 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,067,312 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 14:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004.01.01 01:09:38 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004.01.01 01:08:35 | 000,093,480 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== LOP Check ==========
 
[2010.11.07 01:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2011.02.02 05:23:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EA Core
[2011.02.02 05:23:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
[2011.02.02 05:15:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Solidshield
[2011.01.17 04:26:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
[2010.11.07 02:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\DAEMON Tools Lite
[2011.03.23 03:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
[2011.01.16 21:37:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Foxit Software
[2011.03.15 03:09:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\GetRightToGo
[2011.01.07 23:55:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Miranda
[2010.11.07 02:06:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Opera
[2011.03.28 23:01:00 | 000,000,238 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
[2011.03.28 22:59:43 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.11.07 02:49:02 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2010.11.07 02:37:50 | 000,000,000 | -HSD | M] -- C:\Boot
[2010.11.07 21:52:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2010.11.07 02:02:48 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2011.03.28 23:01:12 | 000,000,000 | R--D | M] -- C:\Programme
[2010.11.23 22:07:15 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.02.01 21:59:09 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.03.28 23:02:37 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE >
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
[2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=64322E8399B205B7281FF883737A9B03 -- C:\WINDOWS\explorer.exe
 
< MD5 for: USERINIT.EXE >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-03-10 02:01:31
 
< End of report >
--- --- ---




GMER Logfile:
Code:
GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-03-28 23:44:35
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\00000064 WDC_WD1600AAJB-00J3A0 rev.01.03E01
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\****~1\LOKALE~1\Temp\kwkoafoc.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT B258959E ZwCreateKey
SSDT B2589594 ZwCreateThread
SSDT B25895A3 ZwDeleteKey
SSDT B25895AD ZwDeleteValueKey
SSDT spgb.sys ZwEnumerateKey [0xF7734DA4]
SSDT spgb.sys ZwEnumerateValueKey [0xF7735132]
SSDT B25895B2 ZwLoadKey
SSDT spgb.sys ZwOpenKey [0xF771C0C0]
SSDT B2589580 ZwOpenProcess
SSDT B2589585 ZwOpenThread
SSDT spgb.sys ZwQueryKey [0xF773520A]
SSDT spgb.sys ZwQueryValueKey [0xF773508A]
SSDT B25895BC ZwReplaceKey
SSDT B25895B7 ZwRestoreKey
SSDT B25895A8 ZwSetValueKey
 
INT 0x62 ? 8676DBF8
INT 0x63 ? 86669BF8
INT 0x73 ? 86669BF8
INT 0x82 ? 8676DBF8
INT 0x83 ? 86669BF8
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text ntoskrnl.exe!_abnormal_termination + 151 804E27BD 3 Bytes [95, 58, B2]
? spgb.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B1C3A80C 5 Bytes JMP 866691D8
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB11B03A0, 0x5CC259, 0xE8000020]
.text aj7xgsc7.SYS B1163386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text aj7xgsc7.SYS B11633AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aj7xgsc7.SYS B11633C4 3 Bytes [00, 80, 02]
.text aj7xgsc7.SYS B11633C9 1 Byte [30]
.text aj7xgsc7.SYS B11633C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
 
---- Devices - GMER 1.0.15 ----
 
Device \FileSystem\Ntfs \Ntfs 8676C1F8
Device \Driver\usbohci \Device\USBPDO-0 8625A1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{DC2D6E9D-8DD0-44F1-94C9-FBD39E847A8A} 864311F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8676E1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8676E1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8676E1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8676E1F8
Device \Driver\usbohci \Device\USBPDO-1 8625A1F8
Device \Driver\usbehci \Device\USBPDO-2 8624E1F8
Device \Driver\PCI_PNP2452 \Device\00000048 spgb.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 867DB1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867DB1F8
Device \Driver\Cdrom \Device\CdRom0 865DA1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 867DB1F8
Device \Driver\Cdrom \Device\CdRom1 865DA1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 864311F8
Device \Driver\NetBT \Device\NetbiosSmb 864311F8
Device \Driver\sptd \Device\1953357452 spgb.sys
Device \Driver\usbohci \Device\USBFDO-0 8625A1F8
Device \Driver\usbohci \Device\USBFDO-1 8625A1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 865281F8
Device \Driver\usbehci \Device\USBFDO-2 8624E1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 865281F8
Device \Driver\Ftdisk \Device\FtControl 867DB1F8
Device \Driver\aj7xgsc7 \Device\Scsi\aj7xgsc71 865CE1F8
Device \Driver\aj7xgsc7 \Device\Scsi\aj7xgsc71Port1Path0Target0Lun0 865CE1F8
Device \FileSystem\Cdfs \Cdfs 864E2500
 
---- Registry - GMER 1.0.15 ----
 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xFA 0xEB 0xAB 0xE9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xFB 0x1B 0x32 0xA9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7A 0x7E 0xD7 0xD4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xFA 0xEB 0xAB 0xE9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xFB 0x1B 0x32 0xA9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7A 0x7E 0xD7 0xD4 ...
 
---- EOF - GMER 1.0.15 ----
--- --- ---

cosinus 29.03.2011 19:28
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ajoo 30.03.2011 00:40
Hi,

bin grad am downloaden, die Logs kommen in 30 Minuten.

Liege ich richtig wenn ich vermute, dass hier sprichwörtlich der Wurm drin war?

[2011.03.28 02:06:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.03.28 02:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Free M4a to MP3 Converter
[2011.03.28 01:49:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData

MfG


Edit:

Hier das Logfile


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6209

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

30.03.2011 02:07:47
mbam-log-2011-03-30 (02-07-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 177626
Laufzeit: 15 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{7d4a50e0-4f7c-4ddf-986d-35f77f9c88dd}\RP125\A0068394.dll (Trojan.KillDisk) -> No action taken.

cosinus 30.03.2011 11:47
Zitat:
Liege ich richtig wenn ich vermute, dass hier sprichwörtlich der Wurm drin war?

[2011.03.28 02:06:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011.03.28 02:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Free M4a to MP3 Converter
[2011.03.28 01:49:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
Nee, das sind Systemordner.
Hast du nur dieses eine Log von Malwarebytes?

Ajoo 30.03.2011 15:27
Hi,

das ist leider der einzige Log.

Soll ich nochmal mit allen Festplatten durchlaufen lassen?


Hatte eig. genau den hier in Verdacht:


Free M4a to MP3 Converter


Das kommt auch mit der Uhrzeit ziemlich genau hin, ab wann die ersten Meldungen auftraten.

Aber genau zu der Zeit kam auch grad ein 2. Wecheldatenträger an den PC.

MfG

cosinus 31.03.2011 10:33
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
[2011.03.23 03:55:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
[2011.03.23 03:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.07 01:49:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ajoo 31.03.2011 20:21
Hi,

hab alles gemacht, anbei das Log-File.


MfG und Danke, Ajoo



Code:
All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ folder moved successfully.
Folder C:\Dokumente und Einstellungen\****\Anwendungsdaten\FFSJ\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
E:\autoexec.bat moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ****
->Temp folder emptied: 1459674 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 2753950 bytes
->FireFox cache emptied: 58484869 bytes
->Opera cache emptied: 19001393 bytes
->Flash cache emptied: 456 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ****
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33023 bytes
RecycleBin emptied: 47812 bytes
 
Total Files Cleaned = 78,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 03312011_210642

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 01.04.2011 11:27
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ajoo 01.04.2011 18:06
Hi,

hier die neusten Logs.


Code:
ComboFix 11-03-31.05 - Mit_Rechten 01.04.2011  18:44:30.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.738 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\mshta.exe . . . ist infiziert!!
.
c:\windows\system32\msiexec.exe . . . ist infiziert!!
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-01 bis 2011-04-01  ))))))))))))))))))))))))))))))
.
.
2011-04-01 16:27 . 2011-04-01 16:27        --------        d-----w-        c:\programme\CCleaner
2011-03-31 19:06 . 2011-03-31 19:06        --------        d-----w-        C:\_OTL
2011-03-29 23:29 . 2011-03-29 23:29        --------        d-----w-        c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-29 23:29 . 2011-03-29 23:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2011-03-30 00:07        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-03-29 23:29 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-03-28 21:01 . 2011-03-28 21:01        --------        d-----w-        c:\programme\ERUNT
2011-03-28 00:06 . 2011-03-28 00:06        --------        d--h--w-        c:\windows\PIF
2011-03-27 23:49 . 2011-03-28 18:31        --------        d-----w-        c:\windows\system32\NtmsData
2011-03-23 09:03 . 2011-03-23 09:03        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2011-03-23 07:03 . 2007-03-16 09:11        12256        ----a-w-        c:\windows\system32\drivers\TBPanel.sys
2011-03-23 07:03 . 2011-03-23 07:03        --------        d-----w-        c:\programme\EXPERTool
2011-03-23 06:56 . 2011-03-24 20:32        240656        ----a-w-        c:\windows\system32\nvdrsdb0.bin
2011-03-23 06:56 . 2011-03-24 20:32        240656        ----a-w-        c:\windows\system32\nvdrsdb1.bin
2011-03-23 06:56 . 2011-03-24 20:32        1        ----a-w-        c:\windows\system32\nvdrssel.bin
2011-03-23 06:55 . 2010-10-22 06:23        61440        ----a-w-        c:\windows\system32\OpenCL.dll
2011-03-23 06:55 . 2010-10-22 06:23        14532608        ----a-w-        c:\windows\system32\nvoglnt.dll
2011-03-23 06:55 . 2010-10-22 06:23        888424        ----a-w-        c:\windows\system32\nvdispco32.dll
2011-03-23 06:55 . 2010-10-22 06:23        813672        ----a-w-        c:\windows\system32\nvgenco32.dll
2011-03-23 06:55 . 2010-10-22 06:23        4882432        ----a-w-        c:\windows\system32\nvcuda.dll
2011-03-23 06:55 . 2010-10-22 06:23        2932840        ----a-w-        c:\windows\system32\nvcuvid.dll
2011-03-23 06:55 . 2010-10-22 06:23        2666600        ----a-w-        c:\windows\system32\nvcuvenc.dll
2011-03-23 06:55 . 2010-10-22 06:23        2293194        ----a-w-        c:\windows\system32\nvdata.bin
2011-03-23 06:55 . 2010-10-22 06:23        9623680        ----a-w-        c:\windows\system32\drivers\nv4_mini.sys
2011-03-23 06:55 . 2010-10-22 06:23        6359552        ----a-w-        c:\windows\system32\nv4_disp.dll
2011-03-23 06:55 . 2010-10-22 06:23        1462272        ----a-w-        c:\windows\system32\nvapi.dll
2011-03-23 06:55 . 2010-10-22 06:23        13012992        ----a-w-        c:\windows\system32\nvcompiler.dll
2011-03-23 02:56 . 2011-03-23 02:56        --------        d-----w-        c:\programme\OpenAL
2011-03-23 01:57 . 2005-04-03 22:02        753664        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2011-03-23 01:57 . 2005-04-03 22:02        69714        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2011-03-23 01:57 . 2005-04-03 22:01        274432        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2011-03-23 01:57 . 2005-04-03 22:00        184320        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2011-03-23 01:57 . 2005-04-03 21:59        5632        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-03-23 01:57 . 2011-03-23 01:57        200836        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2011-03-23 01:57 . 2011-03-23 01:57        331908        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2011-03-23 01:38 . 2011-03-23 01:38        --------        d-sh--w-        c:\windows\ftpcache
2011-03-15 01:06 . 2011-03-15 01:09        --------        d-----w-        c:\dokumente und einstellungen\****\Anwendungsdaten\GetRightToGo
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-01 01:19 . 2010-11-10 20:58        139152        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-04-01 01:19 . 2010-11-10 20:58        111928        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-03-23 03:34 . 2010-11-06 23:46        444952        ----a-w-        c:\windows\system32\wrap_oal.dll
2011-03-23 03:34 . 2010-11-06 23:46        109080        ----a-w-        c:\windows\system32\OpenAL32.dll
2011-03-17 00:06 . 2010-11-06 23:58        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-02-02 20:40 . 2010-11-12 02:28        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-02-02 18:19 . 2010-11-12 02:28        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2011-01-17 02:25 . 2011-01-17 02:25        22328        ----a-w-        c:\dokumente und einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2011-01-17 02:25 . 2011-01-17 02:25        2337865        ----a-w-        c:\windows\system32\pbsvc.exe
.
.
------- Sigcheck -------
.
[-] 2004-08-04 12:00 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="c:\programme\EXPERTool\TBPanel.exe" [2011-02-22 2265416]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-09 281768]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 12451]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2010-05-04 124928]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Qtracker\\qtracker.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"f:\\Games\\Mass Effect\\Binaries\\MassEffect.exe"=
"f:\\Games\\Mass Effect\\MassEffectLauncher.exe"=
"e:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Game.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Launcher.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.11.2010 02:00 691696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.11.2010 01:58 135336]
S0 exckf;exckf;c:\windows\system32\drivers\bhgsctma.sys --> c:\windows\system32\drivers\bhgsctma.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [18.11.2010 04:13 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-01 18:47
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(860)
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2011-04-01  18:48:23
ComboFix-quarantined-files.txt  2011-04-01 16:48
.
Vor Suchlauf: 6 Verzeichnis(se), 11.433.697.280 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 11.527.475.200 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT
.
- - End Of File - - 20FED5FF571738DF89E0FC44FA1C7ED5

Bin bereit für weitere Anweisungen :-)

cosinus 01.04.2011 19:28
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
http://www.trojaner-board.de/96939-bds-hupigon-cddf-avscan-exe-avcenter-exe-und-weitere.html

Driver::
exckf

Filelook::
c:\windows\system32\mshta.exe
c:\windows\system32\msiexec.exe

Collect::
c:\windows\system32\drivers\bhgsctma.sys
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ajoo 01.04.2011 21:03
Code:
ComboFix 11-04-01.01 -        **** 01.04.2011  21:31:43.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.684 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\****\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\mshta.exe . . . ist infiziert!!
.
c:\windows\system32\msiexec.exe . . . ist infiziert!!
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_exckf
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-01 bis 2011-04-01  ))))))))))))))))))))))))))))))
.
.
2011-04-01 19:27 . 2011-04-01 19:27        --------        d-----w-        c:\windows\system32\xircom
2011-04-01 19:27 . 2011-04-01 19:27        --------        d-----w-        c:\windows\system32\wbem\snmp
2011-04-01 19:27 . 2011-04-01 19:27        --------        d-----w-        c:\programme\microsoft frontpage
2011-04-01 16:34 . 2011-04-01 16:48        --------        d-----w-        C:\cofi.exe
2011-04-01 16:27 . 2011-04-01 16:27        --------        d-----w-        c:\programme\CCleaner
2011-03-31 19:06 . 2011-03-31 19:06        --------        d-----w-        C:\_OTL
2011-03-29 23:29 . 2011-03-29 23:29        --------        d-----w-        c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-29 23:29 . 2011-03-29 23:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-29 23:29 . 2011-03-30 00:07        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-03-29 23:29 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-03-28 21:01 . 2011-03-28 21:01        --------        d-----w-        c:\programme\ERUNT
2011-03-28 00:06 . 2011-03-28 00:06        --------        d--h--w-        c:\windows\PIF
2011-03-27 23:49 . 2011-03-28 18:31        --------        d-----w-        c:\windows\system32\NtmsData
2011-03-23 09:03 . 2011-03-23 09:03        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2011-03-23 07:03 . 2007-03-16 09:11        12256        ----a-w-        c:\windows\system32\drivers\TBPanel.sys
2011-03-23 07:03 . 2011-03-23 07:03        --------        d-----w-        c:\programme\EXPERTool
2011-03-23 06:56 . 2011-03-24 20:32        240656        ----a-w-        c:\windows\system32\nvdrsdb0.bin
2011-03-23 06:56 . 2011-03-24 20:32        240656        ----a-w-        c:\windows\system32\nvdrsdb1.bin
2011-03-23 06:56 . 2011-03-24 20:32        1        ----a-w-        c:\windows\system32\nvdrssel.bin
2011-03-23 06:55 . 2010-10-22 06:23        61440        ----a-w-        c:\windows\system32\OpenCL.dll
2011-03-23 06:55 . 2010-10-22 06:23        14532608        ----a-w-        c:\windows\system32\nvoglnt.dll
2011-03-23 06:55 . 2010-10-22 06:23        888424        ----a-w-        c:\windows\system32\nvdispco32.dll
2011-03-23 06:55 . 2010-10-22 06:23        813672        ----a-w-        c:\windows\system32\nvgenco32.dll
2011-03-23 06:55 . 2010-10-22 06:23        4882432        ----a-w-        c:\windows\system32\nvcuda.dll
2011-03-23 06:55 . 2010-10-22 06:23        2932840        ----a-w-        c:\windows\system32\nvcuvid.dll
2011-03-23 06:55 . 2010-10-22 06:23        2666600        ----a-w-        c:\windows\system32\nvcuvenc.dll
2011-03-23 06:55 . 2010-10-22 06:23        2293194        ----a-w-        c:\windows\system32\nvdata.bin
2011-03-23 06:55 . 2010-10-22 06:23        9623680        ----a-w-        c:\windows\system32\drivers\nv4_mini.sys
2011-03-23 06:55 . 2010-10-22 06:23        6359552        ----a-w-        c:\windows\system32\nv4_disp.dll
2011-03-23 06:55 . 2010-10-22 06:23        1462272        ----a-w-        c:\windows\system32\nvapi.dll
2011-03-23 06:55 . 2010-10-22 06:23        13012992        ----a-w-        c:\windows\system32\nvcompiler.dll
2011-03-23 02:56 . 2011-03-23 02:56        --------        d-----w-        c:\programme\OpenAL
2011-03-23 01:57 . 2005-04-03 22:02        753664        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2011-03-23 01:57 . 2005-04-03 22:02        69714        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2011-03-23 01:57 . 2005-04-03 22:01        274432        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2011-03-23 01:57 . 2005-04-03 22:00        184320        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2011-03-23 01:57 . 2005-04-03 21:59        5632        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-03-23 01:57 . 2011-03-23 01:57        200836        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2011-03-23 01:57 . 2011-03-23 01:57        331908        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2011-03-23 01:38 . 2011-03-23 01:38        --------        d-sh--w-        c:\windows\ftpcache
2011-03-15 01:06 . 2011-03-15 01:09        --------        d-----w-        c:\dokumente und einstellungen\****\Anwendungsdaten\GetRightToGo
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-01 17:18 . 2010-11-10 20:58        139152        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-04-01 17:18 . 2010-11-10 20:58        111928        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-03-23 03:34 . 2010-11-06 23:46        444952        ----a-w-        c:\windows\system32\wrap_oal.dll
2011-03-23 03:34 . 2010-11-06 23:46        109080        ----a-w-        c:\windows\system32\OpenAL32.dll
2011-03-17 00:06 . 2010-11-06 23:58        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-02-02 20:40 . 2010-11-12 02:28        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-02-02 18:19 . 2010-11-12 02:28        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2011-01-17 02:25 . 2011-01-17 02:25        22328        ----a-w-        c:\dokumente und einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2011-01-17 02:25 . 2011-01-17 02:25        2337865        ----a-w-        c:\windows\system32\pbsvc.exe
.
.
((((((((((((((((((((((((((((((((((((((((((((  Look  )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\mshta.exe ---
Company: Microsoft Corporation
File Description: Microsoft (R) HTML Application host
File Version: 7.00.5730.11 (winmain(wmbla).061017-1135)
Product Name: Windows® Internet Explorer
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: MSHTA.EXE
File size: 45568
Created time: 2004-08-04 12:00
Modified time: 2004-08-04 12:00
MD5: 08A8931DB4D9302F9804C4DFA14596D1
SHA1: EDA18F3D7CEFAB389203277881E8EDBF258B2F64
.
.
--- c:\windows\system32\msiexec.exe ---
Company: Microsoft Corporation
File Description: Windows® installer
File Version: 3.1.4000.1823
Product Name: Windows Installer - Unicode
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: msiexec.exe
File size: 78848
Created time: 2004-08-04 12:00
Modified time: 2004-08-04 12:00
MD5: F5F0146580E7023ADB963879840777F8
SHA1: 4030C8BBCB8F146A1D8BA0FF2357BE6575E48199
.
.
------- Sigcheck -------
.
[-] 2004-08-04 12:00 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((  SnapShot@2011-04-01_16.47.27  )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-01 19:36 . 2011-04-01 19:36        16384              c:\windows\Temp\Perflib_Perfdata_18c.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="c:\programme\EXPERTool\TBPanel.exe" [2011-02-22 2265416]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-09 281768]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 12451]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2010-05-04 124928]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Qtracker\\qtracker.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"f:\\Games\\Mass Effect\\Binaries\\MassEffect.exe"=
"f:\\Games\\Mass Effect\\MassEffectLauncher.exe"=
"e:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Game.exe"=
"f:\\Games\\rainbow six\\Binaries\\R6Vegas2_Launcher.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.11.2010 02:00 691696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.11.2010 01:58 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [18.11.2010 04:13 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
2011-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-18 02:13]
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-01 21:36
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1940)
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\devldr32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-01  21:38:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-01 19:38
ComboFix2.txt  2011-04-01 16:48
.
Vor Suchlauf: 8 Verzeichnis(se), 11.514.916.864 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 11.462.066.176 Bytes frei
.
- - End Of File - - E23B5DAAB1BD1B51E802F9DEE5D90F90

cosinus 02.04.2011 13:36
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Ajoo 02.04.2011 15:34
So, hier der nächste Log.

Code:
2011/04/02 16:25:39.0515 1868        TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/02 16:25:39.0781 1868        ================================================================================
2011/04/02 16:25:39.0781 1868        SystemInfo:
2011/04/02 16:25:39.0781 1868       
2011/04/02 16:25:39.0781 1868        OS Version: 5.1.2600 ServicePack: 3.0
2011/04/02 16:25:39.0781 1868        Product type: Workstation
2011/04/02 16:25:39.0781 1868        ComputerName: NIX-18C8ED75A4F
2011/04/02 16:25:39.0781 1868        UserName: ****
2011/04/02 16:25:39.0781 1868        Windows directory: C:\WINDOWS
2011/04/02 16:25:39.0781 1868        System windows directory: C:\WINDOWS
2011/04/02 16:25:39.0781 1868        Processor architecture: Intel x86
2011/04/02 16:25:39.0781 1868        Number of processors: 1
2011/04/02 16:25:39.0781 1868        Page size: 0x1000
2011/04/02 16:25:39.0781 1868        Boot type: Normal boot
2011/04/02 16:25:39.0781 1868        ================================================================================
2011/04/02 16:25:40.0000 1868        Initialize success
2011/04/02 16:25:44.0546 1752        ================================================================================
2011/04/02 16:25:44.0546 1752        Scan started
2011/04/02 16:25:44.0546 1752        Mode: Manual;
2011/04/02 16:25:44.0546 1752        ================================================================================
2011/04/02 16:25:45.0484 1752        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/02 16:25:45.0765 1752        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/02 16:25:46.0281 1752        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/02 16:25:46.0578 1752        AFD            (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/02 16:25:47.0906 1752        AmdK7          (3a0dafac778236559c14c7203fb550eb) C:\WINDOWS\system32\DRIVERS\amdk7.sys
2011/04/02 16:25:49.0296 1752        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/02 16:25:49.0593 1752        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/02 16:25:50.0156 1752        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/02 16:25:50.0468 1752        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/02 16:25:50.0531 1752        avgio          (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/04/02 16:25:50.0796 1752        avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/04/02 16:25:51.0093 1752        avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/04/02 16:25:51.0375 1752        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/02 16:25:51.0671 1752        Cardex          (04e1c782cf14b7282ebc633b0fd3ed16) C:\WINDOWS\system32\drivers\TBPANEL.SYS
2011/04/02 16:25:51.0984 1752        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/02 16:25:52.0515 1752        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/02 16:25:52.0796 1752        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/02 16:25:53.0093 1752        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/02 16:25:54.0687 1752        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/02 16:25:54.0984 1752        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/02 16:25:55.0265 1752        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/02 16:25:55.0562 1752        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/02 16:25:55.0828 1752        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/02 16:25:56.0406 1752        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/02 16:25:56.0687 1752        emu10k          (01f83e1b5dce05f5cb7d99113ca9e890) C:\WINDOWS\system32\drivers\emu10k1m.sys
2011/04/02 16:25:56.0968 1752        emu10k1        (7ffa171cce6a8bfc774862a578ba39a2) C:\WINDOWS\system32\drivers\ctlfacem.sys
2011/04/02 16:25:57.0281 1752        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/02 16:25:57.0546 1752        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/04/02 16:25:57.0843 1752        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/02 16:25:58.0125 1752        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/04/02 16:25:58.0421 1752        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/04/02 16:25:58.0703 1752        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/02 16:25:58.0984 1752        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/02 16:25:59.0265 1752        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/02 16:25:59.0828 1752        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/02 16:26:00.0609 1752        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/02 16:26:00.0906 1752        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/02 16:26:01.0703 1752        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/04/02 16:26:01.0984 1752        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/02 16:26:02.0250 1752        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/02 16:26:02.0546 1752        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/02 16:26:02.0828 1752        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/02 16:26:03.0109 1752        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/02 16:26:03.0390 1752        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/02 16:26:03.0687 1752        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/02 16:26:03.0953 1752        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/02 16:26:04.0234 1752        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/02 16:26:04.0812 1752        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/02 16:26:05.0093 1752        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/02 16:26:05.0390 1752        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/02 16:26:05.0671 1752        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/02 16:26:06.0203 1752        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/02 16:26:06.0500 1752        MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/02 16:26:06.0796 1752        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/02 16:26:07.0078 1752        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/02 16:26:07.0359 1752        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/02 16:26:07.0640 1752        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/02 16:26:07.0921 1752        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/02 16:26:08.0218 1752        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/02 16:26:08.0500 1752        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/02 16:26:08.0765 1752        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/04/02 16:26:09.0031 1752        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/04/02 16:26:09.0312 1752        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/04/02 16:26:09.0609 1752        NDProxy        (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/02 16:26:09.0875 1752        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/04/02 16:26:10.0171 1752        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/04/02 16:26:10.0484 1752        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/02 16:26:10.0781 1752        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/02 16:26:11.0078 1752        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/02 16:26:11.0562 1752        nv              (b9b1bb146eb9a83dcf0f5635b09d3d43) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/04/02 16:26:11.0890 1752        nvatabus        (46deed4c6c5fa765f9a2c723be60348d) C:\WINDOWS\system32\DRIVERS\nvatabus.sys
2011/04/02 16:26:12.0171 1752        nvax            (47b3852808dd579a463fce7085b77413) C:\WINDOWS\system32\drivers\nvax.sys
2011/04/02 16:26:12.0468 1752        NVENET          (1cf77b30dee5c75dea1eee697281802c) C:\WINDOWS\system32\DRIVERS\NVENET.sys
2011/04/02 16:26:12.0734 1752        nvnforce        (adbcba116496229a163193bbe0bb28ce) C:\WINDOWS\system32\drivers\nvapu.sys
2011/04/02 16:26:13.0015 1752        nv_agp          (3194e2f6c9000c39dcf9d0580754f714) C:\WINDOWS\system32\DRIVERS\nv_agp.sys
2011/04/02 16:26:13.0296 1752        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/04/02 16:26:13.0562 1752        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/04/02 16:26:13.0843 1752        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/04/02 16:26:14.0125 1752        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/02 16:26:14.0406 1752        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/02 16:26:14.0687 1752        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/02 16:26:15.0234 1752        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/04/02 16:26:15.0500 1752        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/04/02 16:26:17.0328 1752        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/04/02 16:26:17.0609 1752        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/02 16:26:17.0906 1752        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/02 16:26:19.0437 1752        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/04/02 16:26:19.0718 1752        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/04/02 16:26:20.0000 1752        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/04/02 16:26:20.0281 1752        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/04/02 16:26:20.0562 1752        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/04/02 16:26:20.0843 1752        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/02 16:26:21.0140 1752        rdpdr          (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/04/02 16:26:21.0437 1752        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/02 16:26:21.0718 1752        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/04/02 16:26:22.0046 1752        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/02 16:26:22.0328 1752        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/04/02 16:26:22.0609 1752        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/04/02 16:26:22.0906 1752        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/04/02 16:26:23.0187 1752        sfman          (0b1a5e9cacb5cdd54a2815107bd7c772) C:\WINDOWS\system32\drivers\sfmanm.sys
2011/04/02 16:26:23.0968 1752        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/02 16:26:24.0281 1752        sptd            (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys
2011/04/02 16:26:24.0281 1752        Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb48759673505
2011/04/02 16:26:24.0281 1752        sptd - detected Locked file (1)
2011/04/02 16:26:24.0546 1752        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/02 16:26:24.0859 1752        Srv            (89220b427890aa1dffd1a02648ae51c3) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/02 16:26:25.0140 1752        ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/04/02 16:26:25.0406 1752        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/02 16:26:25.0687 1752        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/02 16:26:26.0984 1752        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/02 16:26:27.0281 1752        TBPanel        (04e1c782cf14b7282ebc633b0fd3ed16) C:\WINDOWS\system32\drivers\TBPanel.sys
2011/04/02 16:26:27.0578 1752        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/04/02 16:26:27.0859 1752        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/02 16:26:28.0140 1752        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/02 16:26:28.0437 1752        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/04/02 16:26:28.0984 1752        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/02 16:26:29.0531 1752        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/02 16:26:29.0828 1752        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/04/02 16:26:30.0093 1752        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/02 16:26:30.0390 1752        usbohci        (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/04/02 16:26:30.0671 1752        usbstor        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/02 16:26:30.0953 1752        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/02 16:26:31.0484 1752        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/02 16:26:31.0796 1752        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/02 16:26:32.0343 1752        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/02 16:26:32.0687 1752        WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/04/02 16:26:32.0984 1752        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/04/02 16:26:33.0296 1752        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/04/02 16:26:33.0375 1752        ================================================================================
2011/04/02 16:26:33.0375 1752        Scan finished
2011/04/02 16:26:33.0375 1752        ================================================================================
2011/04/02 16:26:33.0390 1712        Detected object count: 1
2011/04/02 16:29:35.0703 1712        HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
2011/04/02 16:29:35.0703 1712        HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted after reboot
2011/04/02 16:29:35.0703 1712        HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted after reboot
2011/04/02 16:29:35.0703 1712        C:\WINDOWS\system32\Drivers\sptd.sys - will be deleted after reboot
2011/04/02 16:29:35.0703 1712        Locked file(sptd) - User select action: Delete
2011/04/02 16:29:44.0031 1884        Deinitialize success
MfG und schönes Wochenende

cosinus 03.04.2011 13:29
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Ajoo 03.04.2011 16:39
Hi,

nach dem 4. erfolgslosen Versuch nochmal Gmer zu starten hab ichs aufgegeben.

Hier die beiden anderen Logs.

Wie du siehst habe ich mir ein paar Updates herunter geladen, dauert leider etwas länger ;-)


MfG

Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:31:05 on 03.04.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Opera Software Opera Internet Browser 11.01

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Cardex" (Cardex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPANEL.SYS
"catchme" (catchme) - ? - C:\cofi.exe13467c\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"Windows Driver Foundation - User-mode Driver Framework Platform Driver" (WudfPf) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\WudfPf.sys
"Windows Driver Foundation - User-mode Driver Framework Reflector" (WudfRd) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wudfrd.sys
"WpdUsb" (WpdUsb) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wpdusb.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{94586423-855F-4EB2-9F6A-D9DA5658DBE3} "Context menu" - ? - C:\PROGRA~1\FREEM4~1\m4a_menu.dll  (File not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\msonsext.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )-----
{AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshserviceobj.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"PokerStars" - "PokerStars" - C:\Programme\PokerStars\PokerStarsUpdate.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"GAINWARD" - "Gainward Co." - C:\Programme\EXPERTool\TBPanel.exe /A
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NVMixerTray" - "NVIDIA Corporation" - "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatische Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Driver Foundation - User-mode Driver Framework" (WudfSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\WUDFSvc.dll
"Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0000003c

Kernel Drivers (total 113):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
  0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
  0xF77DF000 ACPI.sys
  0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF77CE000 pci.sys
  0xF782F000 isapnp.sys
  0xF7DF7000 pciide.sys
  0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF783F000 MountMgr.sys
  0xF77AF000 ftdisk.sys
  0xF7D33000 dmload.sys
  0xF7789000 dmio.sys
  0xF7AB7000 PartMgr.sys
  0xF784F000 VolSnap.sys
  0xF7771000 atapi.sys
  0xF775D000 nvatabus.sys
  0xF785F000 disk.sys
  0xF786F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF773D000 fltmgr.sys
  0xF772B000 sr.sys
  0xF7714000 KSecDD.sys
  0xF7701000 WudfPf.sys
  0xF7674000 Ntfs.sys
  0xF7647000 NDIS.sys
  0xF7ABF000 nv_agp.sys
  0xF762D000 Mup.sys
  0xF79BF000 \SystemRoot\system32\DRIVERS\amdk7.sys
  0xF7AE7000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF6624000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7AEF000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF660D000 \SystemRoot\system32\DRIVERS\NVENET.sys
  0xF65C7000 \SystemRoot\system32\drivers\emu10k1m.sys
  0xF65A3000 \SystemRoot\system32\drivers\portcls.sys
  0xF79CF000 \SystemRoot\system32\drivers\drmk.sys
  0xF6580000 \SystemRoot\system32\drivers\ks.sys
  0xF79DF000 \SystemRoot\system32\drivers\sfmanm.sys
  0xF7D59000 \SystemRoot\system32\drivers\ctlfacem.sys
  0xF79EF000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF79FF000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF5C52000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xF5C3E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7AF7000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF7A0F000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7CFF000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF5C2A000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF7A1F000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7AFF000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7B07000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7F66000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7A2F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7D03000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF5C13000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF7A3F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF7A4F000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7B0F000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF5C02000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF7A5F000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7B17000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7B1F000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF5BD2000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF7A6F000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7D5B000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF5B74000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7D1B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF4B8A000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF4B7A000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7D89000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7DB9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7E89000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7DBB000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF1D05000 \SystemRoot\System32\drivers\vga.sys
  0xF7DBD000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7DBF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF1CFD000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF1CF5000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF4C26000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB76CD000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB7674000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB764C000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB762A000 \SystemRoot\System32\drivers\afd.sys
  0xF18CB000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF1CED000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB75FF000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB758F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF18AB000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB7569000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB7543000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7D95000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF29BA000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB3B86000 \SystemRoot\System32\Drivers\dump_nvatabus.sys
  0xF7DA5000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB459A000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF1D2D000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7F29000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xF0E32000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBD623000 \SystemRoot\System32\ATMFD.DLL
  0xB319E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB4038000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB30F9000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB3BEB000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB3BE9000 \SystemRoot\System32\Drivers\TBPanel.SYS
  0xB3001000 \SystemRoot\system32\DRIVERS\srv.sys
  0xEE11D000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xB2E34000 \SystemRoot\system32\drivers\wdmaud.sys
  0xEE0FD000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB2B6D000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB2912000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 32):
      0 System Idle Process
      4 System
    408 C:\WINDOWS\system32\smss.exe
    456 csrss.exe
    480 C:\WINDOWS\system32\winlogon.exe
    700 C:\WINDOWS\system32\services.exe
    712 C:\WINDOWS\system32\lsass.exe
    876 C:\WINDOWS\system32\nvsvc32.exe
    900 C:\WINDOWS\system32\svchost.exe
    1012 svchost.exe
    1052 C:\WINDOWS\system32\svchost.exe
    1124 C:\WINDOWS\system32\svchost.exe
    1192 svchost.exe
    1240 svchost.exe
    1324 C:\WINDOWS\system32\spoolsv.exe
    1372 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1412 svchost.exe
    1476 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1496 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
    1556 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1588 C:\Programme\Java\jre6\bin\jqs.exe
    1632 C:\WINDOWS\system32\PnkBstrA.exe
    428 C:\WINDOWS\explorer.exe
    628 alg.exe
    976 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2120 C:\WINDOWS\system32\rundll32.exe
    2136 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    2168 C:\Programme\EXPERTool\TBPANEL.exe
    2192 C:\WINDOWS\system32\devldr32.exe
    2204 C:\WINDOWS\system32\ctfmon.exe
    3180 C:\Programme\Opera\opera.exe
    4048 C:\Dokumente und Einstellungen\****\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000006`1a79e400  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00  (NTFS)

PhysicalDrive0 Model Number: WDCWD1600AAJB-00J3A0, Rev: 01.03E01

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  RE: Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:25 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131