gmer logfile: sector 63: rootkit-like behavior; copy of MBR
 

Hallo,

ein Avira-Scan hatte eine Reihe von Auffälligkeiten auf einer externen Festplatte gezeigt; unter anderem "WORM/SdBot.CAOC" (vgl. Avira-Log weiter unten). Daraufhin habe ich die externe Festplatte vom Rechner getrennt und anschließend umfangreiche Scans mit diversen Viren-/Malware-Scannern auf dem Notebook (Windows 7) durchgeführt. Die automatische Auswertung von HijackThis hat keine besonderen Auffälligkeiten ergeben; aber bei GMER fanden sich mehrere Hinweise auf "rootkit-like behavior".

Nachfolgend das GMER-Log:

<GMER 1.0.15.15281 - h**p://w*w.gmer.net
Rootkit scan 2010-05-18 23:47:46
Windows 6.1.7600
Running: urvyk8fi.exe; Driver: C:\Users\***\AppData\Local\Temp\kwloypod.sys


---- System - GMER 1.0.15 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83445AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83445104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 834453F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8342D634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8342D898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 834451DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83445958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 834456F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83445F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 834461A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 8305E599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 83082F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
? System32\drivers\tylyati.sys Das System kann den angegebenen Pfad nicht finden. !
.text peauth.sys 9D029C9D 28 Bytes [DE, BD, 4B, 88, 50, A2, E1, ...]
.text peauth.sys 9D029CC1 28 Bytes [DE, BD, 4B, 88, 50, A2, E1, ...]
PAGE peauth.sys 9D02FE20 101 Bytes [E6, D6, 23, 65, 6A, 33, E2, ...]
PAGE peauth.sys 9D03002C 102 Bytes [81, 70, C8, CE, 9D, 60, AB, ...]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe[1700] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe[1700] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe[1700] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe[1700] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe[1700] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe[2088] @ C:\Windows\system32\SHELL32.dll [USER32.dll!ExitWindowsEx] [00831210] C:\Program Files\NewTech Infosystems\Acer Backup Manager\Pehook.DLL (Backup Manager Module/NewTech Infosystems, Inc.)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [735F2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [735D5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [735D56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [735F250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [735E8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [735E4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [735E50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [735E51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [735E66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [735E82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [735E8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [735E907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [735EE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [735E4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [10001DA0] C:\Program Files\EgisTec\MyWinLocker 3\x86\psdprotect.dll (PSD DragDrop Protection/EgisTec Inc.)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [10002480] C:\Program Files\EgisTec\MyWinLocker 3\x86\psdprotect.dll (PSD DragDrop Protection/EgisTec Inc.)
IAT C:\Windows\Explorer.EXE[2948] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [10001290] C:\Program Files\EgisTec\MyWinLocker 3\x86\psdprotect.dll (PSD DragDrop Protection/EgisTec Inc.)
IAT C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe[4948] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe[4948] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe[4948] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe[4948] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75535E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread System [4:5964] 9D1BDF2E

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002556fba906
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002556fba906@0021fe0f4635 0xC4 0x52 0x58 0xD4 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002556fba906@00236cb46abb 0x5F 0x5A 0x13 0x2C ...
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Upgrade\LocalRadioSettings
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002556fba906 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002556fba906@0021fe0f4635 0xC4 0x52 0x58 0xD4 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002556fba906@00236cb46abb 0x5F 0x5A 0x13 0x2C ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Upgrade\LocalRadioSettings (not active ControlSet)

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

Angewandt habe ich bereits:
* CC-Cleaner
* Erneuten Avira-Scan
* Malwarebytes-Scan
* Spybot Search&Destroy
* Ad-Aware-Scan

Dabei hat der Malwarebytes-Scan folgende Nachricht gebracht:
C:\Program Files\7-PDF\7-PDF Maker\lib\App\OOo\URE\bin\unicows.dll (Malware.Packer.Gen) -> No action taken.

Diese Datei habe ich über Malwarebytes beseitigen lassen.


Meine Frage nun:
Was sollte ich nun als nächstes tun?


Nachfolgend noch die anderen Logs:

Über Hilfe würde ich mich sehr freuen!!

Ganz herzlichen Dank schon einmal im Voraus,

allegromolto

Die weiteren Scan-Ergebnisse folgen in einem zweiten Beitrag...

Teil II: gmer logfile: sector 63: rootkit-like behavior; copy of MBR
 

Nachfolgend noch die Scan-Ergebnisse:

Ursprüngliches Avira-Log



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 18. Mai 2010 09:47

Es wird nach 2127543 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***_MOBIL

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 06:14:53
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 06:14:53
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 05:58:01
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 05:58:03
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 05:58:28
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 05:59:07
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 05:59:07
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 05:59:07
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 05:59:07
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 05:59:08
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 05:59:08
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 06:14:52
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 05:20:38
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 05:27:36
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 05:53:07
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 05:53:04
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 18:04:23
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 11:36:42
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 11:36:43
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 19:54:00
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 06:50:42
VBASE024.VDF : 7.10.7.101 2048 Bytes 13.05.2010 06:50:42
VBASE025.VDF : 7.10.7.102 2048 Bytes 13.05.2010 06:50:42
VBASE026.VDF : 7.10.7.103 2048 Bytes 13.05.2010 06:50:42
VBASE027.VDF : 7.10.7.104 2048 Bytes 13.05.2010 06:50:42
VBASE028.VDF : 7.10.7.105 2048 Bytes 13.05.2010 06:50:42
VBASE029.VDF : 7.10.7.106 2048 Bytes 13.05.2010 06:50:42
VBASE030.VDF : 7.10.7.107 2048 Bytes 13.05.2010 06:50:42
VBASE031.VDF : 7.10.7.116 177664 Bytes 17.05.2010 06:50:44
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 26.04.2010 05:27:46
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 18.05.2010 06:50:52
AESCN.DLL : 8.1.6.1 127347 Bytes 18.05.2010 06:50:49
AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 05:27:47
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 06:01:49
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 04:19:08
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 18.05.2010 06:50:48
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 08.05.2010 11:36:56
AEHELP.DLL : 8.1.11.3 242039 Bytes 05.04.2010 18:34:08
AEGEN.DLL : 8.1.3.9 377203 Bytes 18.05.2010 06:50:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 05:27:42
AECORE.DLL : 8.1.15.3 192886 Bytes 18.05.2010 06:50:45
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 05:27:41
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 06:14:53
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 06:14:53
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 06:14:52
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 06:14:52

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 18. Mai 2010 09:47

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\program files\acer\acer powersmart manager\nvhybridgraphicswitch.exe
c:\Program Files\Acer\Acer PowerSmart Manager\NVHybridGraphicSwitch.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\acer\acer powersmart manager\nvhybridgraphicswitch.exe
c:\program files\acer\acer powersmart manager\setinteldpst.exe
c:\Program Files\Acer\Acer PowerSmart Manager\SetIntelDPST.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\acer\acer powersmart manager\setinteldpst.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtStackServer.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerEvent.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerTray.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclMSBTSrvEx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nokiaaserver.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMScan.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcerVCM.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaOviSuite.exe' - '190' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMAgent.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'DesktopSearchService.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'CloneCDTray.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'PdtWzd.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMVService.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwlDaemon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '186' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'RS_Service.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWLService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'CompPtcVUI.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'BASVC.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'upeksvr.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLHNService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '477' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
Beginne mit der Suche in 'E:\' <My Book>
E:\Backups_***\20091021\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\atlas.ti\autoplay\tree.js
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
E:\Backups_***\20091021\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\CloneCD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
E:\Backups_***\20091021\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\zu_Brennen\Clone_CD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
E:\Backups_***\20091123\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\atlas.ti\autoplay\tree.js
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
E:\Backups_***\20091123\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\CloneCD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
E:\Backups_***\20091123\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\zu_Brennen\Clone_CD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
E:\Backups_***\TB Profile\Profiles\ofmqminz.***\Cache\2018B0FCd01
[0] Archivtyp: MIME
[FUND] Ist das Trojanische Pferd TR/Dldr.Bredolab.WH
--> DHL_label_Nr39187.zip
[1] Archivtyp: ZIP
--> DHL_label_Nr39187.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bredolab.WH
E:\Mein WD_Backup\20091008\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\atlas.ti\autoplay\tree.js
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
E:\Mein WD_Backup\20091008\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\CloneCD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
E:\Mein WD_Backup\20091008\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\zu_Brennen\Clone_CD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC

Beginne mit der Desinfektion:
E:\Mein WD_Backup\20091008\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\zu_Brennen\Clone_CD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490c1006.qua' verschoben!
E:\Mein WD_Backup\20091008\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\CloneCD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '519b3fa1.qua' verschoben!
E:\Mein WD_Backup\20091008\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\atlas.ti\autoplay\tree.js
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03f26557.qua' verschoben!
E:\Backups_***\TB Profile\Profiles\ofmqminz.***\Cache\2018B0FCd01
[FUND] Ist das Trojanische Pferd TR/Dldr.Bredolab.WH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65b12a57.qua' verschoben!
E:\Backups_***\20091123\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\zu_Brennen\Clone_CD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '207707b5.qua' verschoben!
E:\Backups_***\20091123\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\CloneCD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f6c35d4.qua' verschoben!
E:\Backups_***\20091123\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\atlas.ti\autoplay\tree.js
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '13e21980.qua' verschoben!
E:\Backups_***\20091021\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\zu_Brennen\Clone_CD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6fcc59ce.qua' verschoben!
E:\Backups_***\20091021\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\CloneCD\Clone CD Serial Key Generator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42967683.qua' verschoben!
E:\Backups_***\20091021\c\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\downloads\atlas.ti\autoplay\tree.js
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5bc84d07.qua' verschoben!


Ende des Suchlaufs: Dienstag, 18. Mai 2010 17:37
Benötigte Zeit: 7:49:21 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

39687 Verzeichnisse wurden überprüft
1771395 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1771385 Dateien ohne Befall
114018 Archive wurden durchsucht
0 Warnungen
10 Hinweise
474642 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

----

Sowie das Malwarebytes-Log:

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4052

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18.05.2010 23:25:48
mbam-log-2010-05-18 (23-25-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 260625
Laufzeit: 1 Stunde(n), 25 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\7-PDF\7-PDF Maker\lib\App\OOo\URE\bin\unicows.dll (Malware.Packer.Gen) -> No action taken.


Zuletzt noch die OTL-Logs:


OTL Logfile:
--- --- ---

Und noch das OTL-Extra-Log:


OTL Extra-Log:

OTL EXTRAS Logfile:
--- --- ---

Hiermit hast du dich wohl selber ins Abseits befördert.

Cracks, Serials, Keygens sind illegal und wir supporten nicht mehr bei illegalen Handlungen weiter.
Cracks. Serials, Keygens sind sehr sehr oft verseucht von Malware (Trojaner, Viren, Backdooren, Rootkits) und deswegen ziemlich gefährlich.

Ich würde dir anraten dein System neuaufzusetzen: http://www.trojaner-board.de/51262-a...sicherung.html

Ändere danach alle Passwörter ab. Also Passwörter wie E-Mail, ICQ, MSN, Logindaten zu Online Games, etc.