Trojaner-Board - AV Security Alert – mehrfach bekämpft, ohne erfolg

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - AV Security Alert – mehrfach bekämpft, ohne erfolg (https://www.trojaner-board.de/88138-av-security-alert-mehrfach-bekaempft-ohne-erfolg.html)

AV Security Alert – mehrfach bekämpft, ohne erfolg

Hallo aus der Sonnigen Hauptstadt,
seid gestern Nachmittag sitz ich am Netbook vom Schwager, der sich diese dubiose Security Alert Software eingefangen hat :koch: (dafür gab´s gleich verbal was auf die Ohren).

Nach ersten Recherchen hab ich folgende Programme verwendet:
ClearProg
SmitfraudFix
alles im abgesicherten modus, im normal modus ist jegliche bekämpfung unmöglich, da die Security Alert alles blockt. Nachdem Neustart und dem glauben, das war aber einfach, ist dieser glaube genauso schnell verpufft. :headbang:
Hier ein Logfile vom ersten versuch:

Code:

SmitFraudFix v2.424
 

Scan done at 20:45:05,01, 12.07.2010

Run from E:\brudi\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1DAA6A9D-1511-44C2-A736-0DF941DB1BF7}: NameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1DAA6A9D-1511-44C2-A736-0DF941DB1BF7}: NameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{1DAA6A9D-1511-44C2-A736-0DF941DB1BF7}: NameServer=192.168.1.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK.2
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Also noch mal Recherchieren und so bin ich nun auf folgende Programme gestoßen:
Malwarebytes
OTL
diese ebenso im abgesicherten modus ausgeführt

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4052
 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702
 

12.07.2010 23:08:29

mbam-log-2010-07-12 (23-08-29).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 149252

Laufzeit: 1 Stunde(n), 7 Minute(n), 56 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

Malware hat zwei Verdächtige Dateien gefunden, diese dann gelöscht.
OTL ausgeführt, leider wurde das Logfile durch das neue Überschrieben!!
Nach Neustart leider die Erkenntnis: Das war ein Satz mit X. :headbang:

Ich hätte sicherlich etwas mit OTL Fixen müssen, nur was ist jetzt meine Frage :confused:
Ich hoffe ihr könnt mir helfen.

Hab erneut Malwarebytes voll durch scannen lassen, wieder zwei Dateien gefunden und gelöscht. :mad:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4306
 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702
 

13.07.2010 12:59:29

mbam-log-2010-07-13 (12-59-29).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 159713

Laufzeit: 1 Stunde(n), 8 Minute(n), 40 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Und mit OTL gescannt

Code:

OTL logfile created on: 13.07.2010 13:30:32 - Run 2

OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop\brudi

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.014,00 Mb Total Physical Memory | 782,00 Mb Available Physical Memory | 77,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 96,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 71,04 Gb Total Space | 59,71 Gb Free Space | 84,05% Space Free | Partition Type: NTFS

Drive D: | 72,00 Gb Total Space | 71,63 Gb Free Space | 99,48% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: NAME-F467084D32

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: SafeMode

Scan Mode: All users

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\brudi\OTL.exe (OldTimer Tools)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\brudi\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (yksvc) -- C:\WINDOWS\system32\yk51x86.dll (Marvell)

SRV - (Samsung Update Plus) -- C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe ()

SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (hwdatacard) -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys File not found

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (dtscsi) -- C:\WINDOWS\System32\Drivers\dtscsi.sys ()

DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)

DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)

DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)

DRV - (VMC326) -- C:\WINDOWS\system32\drivers\VMC326.sys (Vimicro Corporation)

DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (Changer) -- C:\WINDOWS\System32\drivers\changer.sys (Microsoft Corporation)

DRV - (lbrtfdc) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys (Toshiba Corp.)

DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)

DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)

DRV - (DNSeFilter) -- C:\WINDOWS\system32\drivers\SamsungEDS.SYS (Samsung Electronics,.LTD)

DRV - (DOSMEMIO) -- C:\WINDOWS\system32\MEMIO.SYS ()

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

IE - HKU\S-1-5-21-1250555507-3000327234-1298314257-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.24 19:47:08 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.24 19:47:08 | 000,000,000 | ---D | M]

 

[2009.12.21 09:50:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2009.11.03 04:14:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2009.11.03 04:14:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2009.11.03 04:14:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2009.11.03 04:14:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2009.11.03 04:14:39 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2010.07.12 20:48:36 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()

O4 - HKLM..\Run: [DAEMON Tools] C:\Programme\DAEMON Tools\daemon.exe (DT Soft Ltd.)

O4 - HKLM..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe (SAMSUNG Electronics)

O4 - HKLM..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)

O4 - HKLM..\Run: [MagicKeyboard] C:\Programme\Samsung\MagicKBD\PreMKbd.exe ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-1250555507-3000327234-1298314257-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)

O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O27 - HKLM IFEO\userinit.exe: Debugger - dnsp.exe ()

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.18 16:53:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.07.13 13:18:40 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent

[2010.07.13 01:03:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia

[2010.07.12 21:15:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes

[2010.07.12 21:15:38 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.07.12 21:15:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.07.12 21:15:35 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.07.12 21:15:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.07.12 20:44:39 | 000,289,144 | ---- | C] (S!Ri) -- C:\WINDOWS\System32\VCCLSID.exe

[2010.07.12 20:44:39 | 000,288,417 | ---- | C] (S!Ri) -- C:\WINDOWS\System32\SrchSTS.exe

[2010.07.12 20:44:39 | 000,087,552 | ---- | C] (S!Ri.URZ) -- C:\WINDOWS\System32\VACFix.exe

[2010.07.12 20:44:39 | 000,082,944 | ---- | C] (S!Ri.URZ) -- C:\WINDOWS\System32\IEDFix.exe

[2010.07.12 20:44:39 | 000,082,944 | ---- | C] (S!Ri.URZ) -- C:\WINDOWS\System32\IEDFix.C.exe

[2010.07.12 20:44:39 | 000,082,432 | ---- | C] (S!Ri.URZ) -- C:\WINDOWS\System32\404Fix.exe

[2010.07.12 20:44:39 | 000,080,384 | ---- | C] (S!Ri.URZ) -- C:\WINDOWS\System32\o4Patch.exe

[2010.07.12 20:44:39 | 000,079,360 | ---- | C] (SteelWerX) -- C:\WINDOWS\System32\swxcacls.exe

[2010.07.12 20:44:39 | 000,078,336 | ---- | C] (S!Ri.URZ) -- C:\WINDOWS\System32\Agent.OMZ.Fix.exe

[2010.07.12 20:44:38 | 000,135,168 | ---- | C] (SteelWerX) -- C:\WINDOWS\System32\swreg.exe

[2010.07.12 20:44:38 | 000,053,248 | ---- | C] (hxxp://www.beyondlogic.org) -- C:\WINDOWS\System32\Process.exe

[2010.07.12 20:39:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\brudi

[2010.07.12 19:37:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\hjt

[2010.07.12 19:02:47 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache

[2010.07.12 19:01:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe

[2010.07.12 19:01:51 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft

[2010.07.12 19:01:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo

[2010.07.12 19:01:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

[2010.07.12 19:01:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü

[2010.07.12 19:01:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten

[2010.07.12 19:01:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik

[2010.07.12 19:01:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien

[2010.07.12 19:01:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder

[2010.07.12 19:01:51 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies

[2010.07.12 19:01:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen

[2010.07.12 19:01:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung

[2010.07.12 19:01:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen

[2010.07.12 19:01:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung

[2010.07.12 19:01:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft

[2010.07.12 19:01:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield

[2010.07.12 19:01:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities

[2010.07.12 19:01:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop

[2010.07.12 19:01:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe

[2010.07.12 19:01:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150000}

[2010.07.12 18:47:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.07.13 13:19:44 | 000,000,490 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100713_131932.reg

[2010.07.13 11:42:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.07.13 11:41:21 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.07.13 11:36:03 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.07.13 01:21:24 | 000,786,432 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT

[2010.07.13 01:21:24 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini

[2010.07.13 01:21:22 | 001,930,896 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db

[2010.07.12 21:15:43 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.07.12 20:48:45 | 000,002,714 | ---- | M] () -- C:\WINDOWS\System32\tmp.reg

[2010.07.12 20:04:16 | 000,000,608 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100712_200404.reg

[2010.07.12 20:03:49 | 000,170,534 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100712_200337.reg

[2010.07.12 18:47:06 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.07.11 19:27:46 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.07.06 18:48:16 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2010.06.21 18:31:42 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.07.13 13:19:38 | 000,000,490 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100713_131932.reg

[2010.07.12 21:15:43 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.07.12 20:48:44 | 000,002,714 | ---- | C] () -- C:\WINDOWS\System32\tmp.reg

[2010.07.12 20:44:39 | 000,075,776 | ---- | C] () -- C:\WINDOWS\System32\WS2Fix.exe

[2010.07.12 20:44:39 | 000,051,200 | ---- | C] () -- C:\WINDOWS\System32\dumphive.exe

[2010.07.12 20:44:39 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\swsc.exe

[2010.07.12 20:04:13 | 000,000,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100712_200404.reg

[2010.07.12 20:03:41 | 000,170,534 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100712_200337.reg

[2010.07.12 19:01:51 | 000,245,760 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG

[2010.07.12 19:01:51 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini

[2010.07.12 19:01:50 | 000,786,432 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT

[2009.11.24 20:38:39 | 000,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll

[2009.11.11 18:56:41 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2009.11.11 18:51:21 | 000,223,128 | ---- | C] () -- C:\WINDOWS\System32\drivers\dtscsi.sys

[2009.11.11 18:49:08 | 000,642,560 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys

[2009.11.11 18:49:08 | 000,096,384 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd7981.sys

[2009.11.11 04:27:33 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Lukas_KBD.ini

[2009.08.27 11:38:08 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2009.06.19 01:19:21 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini

[2009.06.18 17:05:07 | 000,000,002 | ---- | C] () -- C:\WINDOWS\HotFixList.ini

[2009.06.18 17:05:02 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI

[2009.06.18 17:05:02 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Besitzer_KBD.ini

[2009.06.18 17:05:01 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI

[2009.06.18 17:05:01 | 000,002,741 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI

[2009.06.18 17:05:01 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI

[2009.06.18 17:05:01 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI

[2009.06.18 17:05:01 | 000,002,606 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI

[2009.06.18 17:05:01 | 000,002,236 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI

[2009.06.18 17:05:01 | 000,001,956 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI

[2009.06.18 17:05:01 | 000,001,885 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI

[2009.06.18 17:05:01 | 000,001,857 | ---- | C] () -- C:\WINDOWS\System32\KBDUU.INI

[2009.06.18 17:05:01 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI

[2009.06.18 17:05:01 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI

[2009.06.18 17:05:01 | 000,001,834 | ---- | C] () -- C:\WINDOWS\System32\KBDU.INI

[2009.06.18 17:05:01 | 000,001,819 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI

[2009.06.18 17:05:01 | 000,001,699 | ---- | C] () -- C:\WINDOWS\System32\KBDT.INI

[2009.06.18 17:05:01 | 000,001,697 | ---- | C] () -- C:\WINDOWS\System32\KBDV.INI

[2009.06.18 17:05:01 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI

[2009.06.18 17:05:01 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI

[2009.06.18 17:02:49 | 000,000,135 | R--- | C] () -- C:\WINDOWS\System32\lngEng.ini

[2009.06.18 17:02:49 | 000,000,117 | ---- | C] () -- C:\WINDOWS\System32\lngKor.ini

[2009.06.18 16:59:27 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll

[2009.06.18 16:57:01 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS

[2009.03.23 18:40:06 | 002,854,976 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll

[2005.02.17 13:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest

[2005.02.17 13:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest

[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI

[2001.11.14 14:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8

< End of report >

Ich hoffe ihr könnt mir weiterhelfen, hab bisher keinen Normalen Neustart gemacht, da ich befürchte das wieder nicht gebracht hat bevor ich nicht mit OTL etwas fixe.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O27 - HKLM IFEO\userinit.exe: Debugger - dnsp.exe ()

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Gemacht getan und nach dem Neustart war alles wieder beim alten :koch:

Ich denke das beste wäre wenn ich neu aufsetze, sollte ich etwas besonderes beachten?
Es handelt sich um ein Netbook mit Recovery Partition (hoffe ich).
Soviel ich weiss ist das beste bei verseuchten systemen, format -> partitionen killen -> neu partitionieren -> recovery aufsetzen
Für bessere vorschläge wäre ich sehr dankbar.

Code:

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\ deleted successfully.

File dnsp.exe not found.

ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 deleted successfully.

ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 deleted successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 405 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32768 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33530 bytes

 

User: Lukas

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 58104 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 374 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.9.0 log created on 07132010_230007
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

mach nen Durchgang mit CF. Log werd ich mir aber erst morgen anschaun.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in smss.exe.

http://saved.im/mtc0ntmzz2m4/smss.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte smss.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin,
hab es erst heute geschafft mich um den Netbook zu kümmern.

Bevor ich mich an deine instruktionen gehalten habe, hatte ich folgendes erstmal in eigenregie getan.

CCleaner gestartet (war vorhanden) bevor AV Security aktiv wurde, da wenn dieser Aktiv ist, kein weiteres Program sich starten lies.

Festgestellt das 3 Registry Einträge sich durch CCleaner nicht Löschen ließen:
HKCU/Software/AVSuitE
HKLM/Software/AVSS
HKLM/Software/AVSuitE
diese dann im abgesicherten modus direkt über Registry gelöscht

Dann noch Autostart Einträge geprüft, dubiosen Eintrag "cunhnxptssd.exe" gefunden und gelöscht.

"cunhnxptssd.exe" Diese Datei wollte ich komplett löschen, die war in "../Lokale Einst./Anwend./epnocevrx/cunhnxptssd.exe" konnte ich aber im Abgesicherten Modus nicht, wegen fehlender Berechtigung :koch:
Glücklicherweise konnte ich diese dann nach Neustart im normal modus löschen, da bereits AV Security vorerst still gelegt wurde :applaus:

Nach diesem Erfolg hab ich dann Combofix ausgeführt so wie es im Tutorium steht :singsing:
Hier das Logfile:

Code:

ComboFix 10-07-15.01 - Lukas 15.07.2010  21:03:15.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.581 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Lukas\Eigene Dateien\Downloads\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

PEV Error: LocalSettingsFile
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\SEC

c:\windows\SEC\DelMt.cmd

c:\windows\SEC\JRE150.exe

c:\windows\SEC\Marker.exe

c:\windows\SEC\MEMIO.sys

c:\windows\SEC\MEMIO.vxd

c:\windows\SEC\MP10GER.exe

c:\windows\SEC\SECINSTALL.EXE

c:\windows\SEC\SECINSTALL.INI

c:\windows\SEC\StartMem.exe

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-15 bis 2010-07-15  ))))))))))))))))))))))))))))))

.
 

2010-07-15 18:02 . 2010-07-15 18:02        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\PrivacIE

2010-07-13 21:00 . 2010-07-13 21:00        --------        d-----w-        C:\_OTL

2010-07-12 21:11 . 2010-07-12 21:11        --------        d-----w-        c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Malwarebytes

2010-07-12 19:15 . 2010-07-12 19:15        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2010-07-12 19:15 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-12 19:15 . 2010-07-12 19:15        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-07-12 19:15 . 2010-07-12 19:15        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-07-12 19:15 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-07-12 17:02 . 2010-07-12 17:02        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\IETldCache

2010-07-11 17:54 . 2010-07-11 17:54        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-15 18:31 . 2009-12-02 14:45        --------        d-----w-        c:\programme\CCleaner

2010-06-21 16:32 . 2009-11-10 21:59        --------        d-----w-        c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Skype

2010-06-21 16:31 . 2009-11-11 18:27        --------        d-----w-        c:\dokumente und einstellungen\Lukas\Anwendungsdaten\skypePM

2010-06-14 20:30 . 2010-06-14 20:30        --------        d-----w-        c:\dokumente und einstellungen\Lukas\Anwendungsdaten\DivX

2010-05-24 12:54 . 2010-05-24 12:51        --------        d-----w-        c:\programme\ICM MetaTrader

2010-05-06 10:31 . 2009-06-18 23:19        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-05-02 08:05 . 2009-06-18 23:19        1851392        ----a-w-        c:\windows\system32\win32k.sys

2010-04-20 05:29 . 2009-06-18 23:18        285696        ----a-w-        c:\windows\system32\atmfd.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\progra~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [2009-07-26 3883840]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]

"EDS"="c:\programme\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"DMHotKey"="c:\programme\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]

"BatteryManager"="c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]

"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2005-12-10 133016]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2009-3-23 603488]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.11.2009 00:47 108289]

R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [18.06.2009 16:57 4300]

R2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe -k yksvcs [19.06.2009 01:19 14336]

R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14.01.2008 19:01 30208]

R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [18.06.2009 17:00 238464]

S2 gupdate1caacf1d684b72f;Google Update Service (gupdate1caacf1d684b72f);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2010 23:16 133104]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.11.2009 18:49 642560]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

yksvcs        REG_MULTI_SZ           yksvc

.

Inhalt des "geplante Tasks" Ordners
 

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:16]
 

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 21:16]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN

uInternet Settings,ProxyServer = http=127.0.0.1:5577

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: {1DAA6A9D-1511-44C2-A736-0DF941DB1BF7} = 192.168.1.1

TCP: {32850A20-64D8-4963-9FCA-9B96DC290096} = 192.168.1.1

FF - ProfilePath - c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Mozilla\Firefox\Profiles\jyoibd7k.default\

FF - prefs.js: browser.startup.homepage - hxxp://de.eurosport.yahoo.com/

FF - plugin: c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Mozilla\Firefox\Profiles\jyoibd7k.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll

FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-15 21:13

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x861D7EC5]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf764ff28

\Driver\ACPI -> ACPI.sys @ 0xf75c1cb8

\Driver\atapi -> atapi.sys @ 0xf7579852

IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS:  -> SendCompleteHandler -> 0x0

 PacketIndicateHandler -> 0x0

 SendHandler -> 0x0

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Zeit der Fertigstellung: 2010-07-15  21:18:13

ComboFix-quarantined-files.txt  2010-07-15 19:18
 

Vor Suchlauf: 6 Verzeichnis(se), 63.000.788.992 Bytes frei

Nach Suchlauf: 7 Verzeichnis(se), 62.938.583.040 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 555D6649ABE9567F4556B0B34C5C13FD

Warte auf neue Anweisungen :kaffee:

thema nach oben schieb

wäre in meinem fall noch etwas zu machen, oder kann ich das Netbook getrost wieder zurückgeben.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

GMER Log hat erst beim zweiten mal geklappt :rolleyes:

GMER Logfile:
GMER Logfile:
GMER Logfile:

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-07-21 18:24:20

Windows 5.1.2600 Service Pack 3

Running: 74zl61ni.exe; Driver: C:\Dokumente und Einstellungen\Lukas\Lokale Einstellungen\Temp\kgwoqfod.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7D1713E                                                                                                             ZwCreateKey

SSDT            F7D17134                                                                                                             ZwCreateThread

SSDT            F7D17143                                                                                                             ZwDeleteKey

SSDT            F7D1714D                                                                                                             ZwDeleteValueKey

SSDT            sptd.sys                                                                                                             ZwEnumerateKey [0xF751FC7E]

SSDT            sptd.sys                                                                                                             ZwEnumerateValueKey [0xF751FFF6]

SSDT            F7D17152                                                                                                             ZwLoadKey

SSDT            sptd.sys                                                                                                             ZwOpenKey [0xF751FA18]

SSDT            F7D17120                                                                                                             ZwOpenProcess

SSDT            F7D17125                                                                                                             ZwOpenThread

SSDT            sptd.sys                                                                                                             ZwQueryKey [0xF75200C0]

SSDT            sptd.sys                                                                                                             ZwQueryValueKey [0xF751FF58]

SSDT            F7D1715C                                                                                                             ZwReplaceKey

SSDT            F7D17157                                                                                                             ZwRestoreKey

SSDT            F7D17148                                                                                                             ZwSetValueKey

SSDT            F7D1712F                                                                                                             ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               C:\WINDOWS\system32\drivers\sptd.sys                                                                                 Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

?               C:\WINDOWS\System32\Drivers\SPTD7981.SYS                                                                             Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                                          F6AE84D0 16 Bytes  [E7, DB, 40, 81, E1, 09, A8, ...]

.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                                     F6AE84E1 31 Bytes  [70, AE, F6, 09, 0A, 36, 57, ...]

?               C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                               Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\Explorer.EXE[180] ntdll.dll!NtProtectVirtualMemory                                                        7C91D6EE 5 Bytes  JMP 00B7000A 

.text           C:\WINDOWS\Explorer.EXE[180] ntdll.dll!NtWriteVirtualMemory                                                          7C91DFAE 5 Bytes  JMP 00C1000A 

.text           C:\WINDOWS\Explorer.EXE[180] ntdll.dll!KiUserExceptionDispatcher                                                     7C91E47C 5 Bytes  JMP 00B6000C 

.text           C:\WINDOWS\System32\svchost.exe[1320] ntdll.dll!NtProtectVirtualMemory                                               7C91D6EE 5 Bytes  JMP 009A000A 

.text           C:\WINDOWS\System32\svchost.exe[1320] ntdll.dll!NtWriteVirtualMemory                                                 7C91DFAE 5 Bytes  JMP 009B000A 

.text           C:\WINDOWS\System32\svchost.exe[1320] ntdll.dll!KiUserExceptionDispatcher                                            7C91E47C 5 Bytes  JMP 0099000C 

.text           C:\WINDOWS\System32\svchost.exe[1320] ole32.dll!CoCreateInstance                                                     774D057E 5 Bytes  JMP 00F2000A 

.text           C:\Programme\Mozilla Firefox\firefox.exe[2300] ntdll.dll!NtProtectVirtualMemory                                      7C91D6EE 5 Bytes  JMP 0125000A 

.text           C:\Programme\Mozilla Firefox\firefox.exe[2300] ntdll.dll!NtWriteVirtualMemory                                        7C91DFAE 5 Bytes  JMP 0126000A 

.text           C:\Programme\Mozilla Firefox\firefox.exe[2300] ntdll.dll!KiUserExceptionDispatcher                                   7C91E47C 5 Bytes  JMP 0124000C 
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                                 [F7528DB2] sptd.sys

IAT             pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                    [F753E71E] sptd.sys

IAT             ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference]                                                                [F75293B2] sptd.sys

IAT             ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer]                                                                    [F75292B6] sptd.sys

IAT             ftdisk.sys[ntoskrnl.exe!IofCallDriver]                                                                               [F7529482] sptd.sys

IAT             PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                [F753E032] sptd.sys

IAT             PartMgr.sys[ntoskrnl.exe!IoDetachDevice]                                                                             [F7528F6E] sptd.sys

IAT             atapi.sys[ntoskrnl.exe!IofCompleteRequest]                                                                           [F753DC76] sptd.sys

IAT             atapi.sys[ntoskrnl.exe!IoConnectInterrupt]                                                                           [F7528E06] sptd.sys

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [F751BA32] sptd.sys

IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [F751BB6E] sptd.sys

IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [F751BAF6] sptd.sys

IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [F751C6CC] sptd.sys

IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [F751C5A2] sptd.sys

IAT             disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                   [F753E864] sptd.sys

IAT             \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice]                                                  [F752DF78] sptd.sys

IAT             \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest]                                            [F753DC76] sptd.sys

IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [F753DC82] sptd.sys

IAT             \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                     [F753E864] sptd.sys

IAT             \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver]                                                   [F751B020] sptd.sys

IAT             \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver]                                                  [F751B020] sptd.sys
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                                                                                               863D3EB0
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

Device          \Driver\NetBT \Device\NetBT_Tcpip_{D03F54FA-8C99-48AB-94CE-C76564D0A828}                                             86109EB0

Device          \Driver\00000160 \Device\00000049                                                                                    sptd.sys

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                               86386748

Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                               86386748

Device          \Driver\Cdrom \Device\CdRom0                                                                                         8626D558

Device          \FileSystem\Rdbss \Device\FsWrap                                                                                     86086398

Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                               86386748

Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   [F7494B40] atapi.sys[unknown section] {MOV EAX, 0x863863b0; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf7530442; RET }

Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              86109EB0

Device          \Driver\NetBT \Device\NetBT_Tcpip_{32850A20-64D8-4963-9FCA-9B96DC290096}                                             86109EB0

Device          \Driver\NetBT \Device\NetbiosSmb                                                                                     86109EB0

Device          \Driver\NetBT \Device\NetBT_Tcpip_{1DAA6A9D-1511-44C2-A736-0DF941DB1BF7}                                             86109EB0

Device          \Driver\Disk \Device\Harddisk0\DR0                                                                                   863D30E8

Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    860B40E8

Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          860B40E8

Device          \FileSystem\Npfs \Device\NamedPipe                                                                                   860D14D0

Device          \Driver\Ftdisk \Device\FtControl                                                                                     86386748

Device          \FileSystem\Msfs \Device\Mailslot                                                                                    8611A468

Device          \Driver\dtscsi \Device\Scsi\dtscsi1Port1Path0Target0Lun0                                                             862A8738

Device          \Driver\dtscsi \Device\Scsi\dtscsi1                                                                                  862A8738

Device          \FileSystem\Cdfs \Cdfs                                                                                               862BCC38

Device           -> \Driver\atapi \Device\Harddisk0\DR0                                                                              8614EEC5
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                                   193819426

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   713958421

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   1623329548

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Programme\DAEMON Tools\

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x75 0xB4 0xCD 0x69 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x19 0xF2 0x4B 0xB1 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x4E 0xBD 0x19 0x94 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools\

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x75 0xB4 0xCD 0x69 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x19 0xF2 0x4B 0xB1 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x4E 0xBD 0x19 0x94 ...
 

---- Files - GMER 1.0.15 ----
 

File            C:\WINDOWS\system32\drivers\atapi.sys                                                                                suspicious modification
 

---- EOF - GMER 1.0.15 ----

--- --- ---

--- --- ---

--- --- ---

Hier OSAM Log
OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 18:58:12 on 21.07.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl

"MagicKBD.cpl" - "SAMSUNG Electronics Co., Ltd." - C:\WINDOWS\system32\MagicKBD.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"catchme" (catchme) - ? - C:\Dokumente und Einstellungen\Lukas\Lokale Einstellungen\Temp\catchme.sys  (File not found)

"DNSeFilter" (DNSeFilter) - "Samsung Electronics,.LTD" - C:\WINDOWS\System32\drivers\SamsungEDS.sys

"dtscsi" (dtscsi) - "DT Soft Ltd." - C:\WINDOWS\System32\Drivers\dtscsi.sys  (File is exclusively opened, access blocked)

"Huawei DataCard USB Modem and USB Serial" (hwdatacard) - ? - C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys  (File not found)

"MEMIO" (DOSMEMIO) - ? - C:\WINDOWS\system32\MEMIO.SYS  (File found, but it contains no detailed information)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL

{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll

{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL

{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

<binary data> "{472734EA-242A-422B-ADF8-83D1E48CC825}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Lukas\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"msnmsgr" - "Microsoft Corporation" - "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"BatteryManager" - ? - C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

"DAEMON Tools" - "DT Soft Ltd." - "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

"DMHotKey" - "SAMSUNG Electronics" - C:\Programme\Samsung\Easy Display Manager\DMLoader.exe

"EDS" - "Samsung Electronics,.LTD" - C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

"MagicKeyboard" - ? - C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll

"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

"Google Update Service (gupdate1caacf1d684b72f)" (gupdate1caacf1d684b72f) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"Samsung Update Plus" (Samsung Update Plus) - ? - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe  (File found, but it contains no detailed information)
 

[Winlogon]

-----( HKCU\Control Panel\Desktop )-----

"SCRNSAVE.EXE" - "TopThinks, INC." - C:\WINDOWS\IMAGIN~1.SCR

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

remover spuckte folgenden device aus:

MD5: c5b181bb2b274f41e099cf096f857f2 Unknow boot code

Deine atapi.sys wurde manipuliert. Eigentlich erkennt CF sowas hat in diesem Fall aber nicht geklappt :confused:

Lad Dir bitte von hier eine saubere atapi.sys am besten direkt auf c: herunter, danach:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad
7. Kopiere die saubere atapi.sys in den Pfad hinein (/windows/system32/drivers) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei (atapi.bad in system32\drivers) bei Virustotal.com auswerten lassen und Ergebnislink posten
10. Einen neuen Durchlauf mit GMER machen und Log posten

Zitat:

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

Da es sich um ein Netbook handelt, kann ich nicht von CD booten, da kein Laufwerk in sone kleine kiste passt :crazy::dummguck:

Kann ich das dann nicht über USB Stick booten??

Ja...
Es muss auch nicht unbedingt PartedMagic sein, Du kannst Dir auch ein Ubuntu auf einen Stick erstellen => Live-USB ? Wiki ? ubuntuusers.de