|
FIREFOX und IE8 stürzen ab oder Vista fährt herunter. (JAVA/Agent.M.1?) Hallo Leute! Hier mein Problem. Es fing an mit der Nachtricht: "Ihr System wird in weniger als einer Minute heruntergefahren." So war es dann auch. Kurz darauf fand ANTIVIR einen JAVA/Agent.M.1, der in die Quarantäne verschoben wurde. Ich habe mich durch einige Foren gelesen und weitere Maßnahmen ergriffen: -mehrfacher Virenscan mit Malwarebytes (auch abgesichert) -Update von Java, IE, Firefox - Vista ist upgedated. -ANTIVIR Scan laut Anleitung im Forum -Externer Scan mit ESET -Hijackthis Scan Der 1. Malware Scan war positiv. Seit dem sind alle Scans negativ (soweit ich das beurteilen kann) . Trotzdem kommt ab und zu noch die Nachtrich, daß Vista heruntergefahren wird. Auch stürzen Explorer und vor Allem Firefox immzu ab (keine Rückmeldung). Anbei die logfiles mit der Bitte um Hilfe: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4517 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 31.08.2010 22:48:59 mbam-log-2010-08-31 (22-48-59).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 427226 Laufzeit: 1 Stunde(n), 42 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully. C:\Users\flynico\AppData\Roaming\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\Users\flynico\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Users\flynico\AppData\Local\Temp\services.exe (Password.Stealer) -> Quarantined and deleted successfully. --------------------------------------------------------------- --------------------------------------------------------------- Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 1. September 2010 19:38 Es wird nach 2771546 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : xxxxx Computername : xxxxx-PC Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 18:08:20 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:08:19 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 10:17:59 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:24:25 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 07:57:36 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:40:10 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:32:57 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:25:08 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 22:06:55 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 22:06:55 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 22:06:55 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 22:06:55 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 22:06:55 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 22:06:56 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 15:58:11 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 22:00:14 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 10:33:27 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 11:57:46 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 12:41:13 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 16:40:40 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 16:42:24 VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 19:13:33 VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 16:08:35 VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 16:27:24 VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 16:27:26 VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 16:27:17 VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 16:38:12 VBASE026.VDF : 7.10.11.52 148992 Bytes 31.08.2010 13:32:04 VBASE027.VDF : 7.10.11.53 2048 Bytes 31.08.2010 13:32:04 VBASE028.VDF : 7.10.11.54 2048 Bytes 31.08.2010 13:32:04 VBASE029.VDF : 7.10.11.55 2048 Bytes 31.08.2010 13:32:04 VBASE030.VDF : 7.10.11.56 2048 Bytes 31.08.2010 13:32:05 VBASE031.VDF : 7.10.11.68 91648 Bytes 01.09.2010 17:25:35 Engineversion : 8.2.4.46 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 22:00:52 AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.08.2010 16:27:43 AESCN.DLL : 8.1.6.1 127347 Bytes 16.05.2010 20:08:09 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 15:32:56 AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 19:00:15 AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 12:59:50 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 19:00:00 AEHEUR.DLL : 8.1.2.19 2867574 Bytes 26.08.2010 16:27:38 AEHELP.DLL : 8.1.13.3 242038 Bytes 26.08.2010 16:27:24 AEGEN.DLL : 8.1.3.20 397684 Bytes 26.08.2010 16:27:22 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 15:32:50 AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 18:59:18 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 15:32:48 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 17:52:35 AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 05:01:36 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23.08.2009 13:05:36 RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 18:08:18 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: ignorieren Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: aus Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Mittwoch, 1. September 2010 19:38 Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '138881' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wordpad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Notifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PROFIL~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdacoms.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ScannerFinder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '71' Prozesse mit '71' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '56' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Ende des Suchlaufs: Mittwoch, 1. September 2010 21:14 Benötigte Zeit: 1:35:46 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 27152 Verzeichnisse wurden überprüft 659158 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 659157 Dateien ohne Befall 3025 Archive wurden durchsucht 1 Warnungen 1 Hinweise 138881 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden __________________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4534 Windows 6.0.6002 Service Pack 2 (Safe Mode) Internet Explorer 8.0.6001.18943 03.09.2010 12:52:32 mbam-log-2010-09-03 (12-52-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 412599 Laufzeit: 1 Stunde(n), 22 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ____________________________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:04:58, on 03.09.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18943) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Windows\ehome\ehtray.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Program Files\Avira\AntiVir Desktop\avcenter.exe C:\PROGRAM FILES\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: CacherBHO - {9B4DF450-DCC7-4B07-935D-0CD757A64583} - C:\Program Files\Moyea\YouTube FLV Downloader\MoyeaCatcher.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [PDFPrint] C:\Program Files\pdf24\pdf24.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Fladlg] C:\Users\flynico\AppData\Roaming\Adobe\Update\gethlp.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O13 - Gopher Prefix: DANKE SCHONMAL!! |
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo nochmal. Hier die Logs. Grüße!! OTL Logfile: Code: OTL logfile created on: 05.09.2010 14:18:54 - Run 1----------------------------------------------------- ------------------------------------------------------OTL Logfile: Code: OTL Extras logfile created on: 05.09.2010 14:18:54 - Run 1 |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Alles wie beschrieben ausgeführt.... All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Fladlg deleted successfully. C:\Users\flynico\AppData\Roaming\Adobe\Update\gethlp.exe moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eca0174f-750a-11dd-933b-00137737cd42}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eca0174f-750a-11dd-933b-00137737cd42}\ not found. File F:\InstallTomTomHOME.exe not found. C:\Users\flynico\AppData\Local\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1q.exe moved successfully. C:\Users\flynico\sxt.txt moved successfully. C:\Windows\System32\drivers\Onsio.sys moved successfully. C:\Windows\System32\drivers\Onsreged.sys moved successfully. C:\Users\flynico\AppData\Roaming\qvjsge.dat moved successfully. ADS C:\ProgramData\TEMP:CF5C4195 deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: flynico ->Temp folder emptied: 779508 bytes ->Temporary Internet Files folder emptied: 1023427 bytes ->Java cache emptied: 138339020 bytes ->FireFox cache emptied: 37088056 bytes ->Flash cache emptied: 2919539 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 527594 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 172.00 mb OTL by OldTimer - Version 3.2.11.0 log created on 09052010_173743 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Grüße!! |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Soooo. Fertig. Combofix Logfile: Code: ComboFix 10-09-04.06 - flynico 05.09.2010 19:19:28.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Hier schon mal das GMER Log. OSAM folgt... Grüße GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.net |
Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 09:17:39 on 06.09.2010 OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit Default Browser: Mozilla Corporation Firefox 3.6.8 Scanner Settings Rootkits detection (hidden registry) Rootkits detection (hidden files) Retrieve files information Check Microsoft signatures Filters Trusted entries Empty entries Hidden registry entries (rootkit activity) Exclusively opened files Not found files Files without detailed information Existing files Non-startable services Non-startable drivers Active entries Disabled entries Risk Name Publisher Full Path Status Control Panel Objects HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls |||||| "mlcfg32.cpl" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL File exists |||||| "QuickTime" "Apple Inc." C:\Program Files\QuickTime\QTSystem\QuickTime.cpl File exists "ToSysCnf" "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToSysCnf.cpl File exists Drivers HKLM\SYSTEM\CurrentControlSet\Services "catchme" (catchme) C:\Users\flynico\AppData\Local\Temp\catchme.sys File not found "IP in IP Tunnel Driver" (IpInIp) C:\Windows\System32\DRIVERS\ipinip.sys File not found "IPX Traffic Filter Driver" (NwlnkFlt) C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found "IPX Traffic Forwarder Driver" (NwlnkFwd) C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found |||||| "MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) "Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH" C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS File exists |||||| "NetGroup Packet Filter Driver" (NPF) "CACE Technologies" C:\Windows\System32\drivers\npf.sys File exists "pwldyfog" (pwldyfog) C:\Users\flynico\AppData\Local\Temp\pwldyfog.sys Hidden registry entry, rootkit activity | File not found |||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\Windows\System32\DRIVERS\ssmdrv.sys File exists Explorer HKLM\Software\Classes\Folder\shellex\ColumnHandlers |||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll File exists |||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll File exists HKLM\Software\Classes\Protocols\Filter |||||| {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL File exists HKLM\Software\Classes\Protocols\Handler |||||| {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL File exists |||||| {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" File not found | COM-object registry key not found HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved {911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" File not found | COM-object registry key not found {1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" File not found | COM-object registry key not found {34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" File not found | COM-object registry key not found {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" File not found | COM-object registry key not found {2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" File not found | COM-object registry key not found {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" File not found | COM-object registry key not found |||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" C:\Program Files\Microsoft Office\Office12\msohevi.dll File exists |||||| {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll File exists |||||| {00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL File exists |||||| {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" "Microsoft Corporation" C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll File exists |||||| {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" "Broadcom Corporation." C:\Windows\system32\btncopy.dll File exists |||||| {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll File exists |||||| {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll File exists |||||| {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll File exists |||||| {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll File exists |||||| {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL File exists {C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" File not found | COM-object registry key not found {E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" File not found | COM-object registry key not found {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" File not found | COM-object registry key not found |||||| {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll File exists {da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" File not found | COM-object registry key not found |||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" C:\Program Files\WinRAR\rarext.dll File found, but it contains no detailed information Internet Explorer HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser ITBar7Height "ITBar7Height" File not found | COM-object registry key not found "ITBar7Layout" File not found | COM-object registry key not found HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units |||| {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists |||| {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists |||| {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists |||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists |||| {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2iexp.dll File exists |||||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\npjpi160_21.dll File exists |||||| {7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" hxxp://download.eset.com/special/eos/OnlineScanner.cab "Eset" C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX File exists HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions |||||| "@btrez.dll,-4015" C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm File exists |||| {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |||||| {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" "Adobe Systems Incorporated" C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll File exists {9B4DF450-DCC7-4B07-935D-0CD757A64583} "CatcherBHO Class" C:\Program Files\Moyea\YouTube FLV Downloader\MoyeaCatcher.dll File exists |||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Program Files\Java\jre6\bin\jp2ssv.dll File exists Logon %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup |||||| "desktop.ini" C:\Users\flynico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup |||||| "desktop.ini" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini File exists HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |||| "StartCCC" C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe File found, but it contains no detailed information HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd "StartupPrograms" rdpclip File not found HKLM\Software\Microsoft\Windows\CurrentVersion\Run |||| "LanguageShortcut" "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" File exists |||||| "Malwarebytes Anti-Malware (reboot)" "Malwarebytes Corporation" "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript File exists |||| "PDFPrint" "Geek Software GmbH" C:\Program Files\pdf24\pdf24.exe File exists |||| "RemoteControl" "Cyberlink Corp." "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" File exists |||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Program Files\Common Files\Java\Java Update\jusched.exe" File exists "ToADiMon.exe" "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart File exists Print Monitors HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors |||||| "Redirected Port" C:\Windows\system32\redmonnt.dll File found, but it contains no detailed information Services HKLM\SYSTEM\CurrentControlSet\Services |||||| "Apple Mobile Device" (Apple Mobile Device) "Apple Inc." C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe File exists |||||| "Bluetooth Service" (btwdins) "Broadcom Corporation." C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe File exists |||||| "Bonjour-Dienst" (Bonjour Service) "Apple Inc." C:\Program Files\Bonjour\mDNSResponder.exe File exists |||||| "Cyberlink RichVideo Service(CRVS)" (RichVideo) C:\Program Files\CyberLink\Shared Files\RichVideo.exe File exists "iPod-Dienst" (iPod Service) "C:\Program Files\iPod\bin\iPodService.exe" File not found |||||| "Microsoft Office Diagnostics Service" (odserv) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE File exists |||||| "Office Source Engine" (ose) "Microsoft Corporation" C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE File exists |||||| "PnkBstrA" (PnkBstrA) C:\Windows\system32\PnkBstrA.exe File found, but it contains no detailed information |||||| "Remote Packet Capture Protocol v.0 (experimental)" (rpcapd) "CACE Technologies" C:\Program Files\WinPcap\rpcapd.exe File exists |||| "Samsung Update Plus" (Samsung Update Plus) C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe File found, but it contains no detailed information |||||| "SQL Server (MSSMLBIZ)" (MSSQL$MSSMLBIZ) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe File exists |||||| "SQL Server VSS Writer" (SQLWriter) "Microsoft Corporation" C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe File exists Winsock Providers HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries |||||| "mdnsNSP" "Apple Inc." C:\Program Files\Bonjour\mdnsNSP.dll File exists |
Bootkit Remover meldet //./PhsicalDrive0 Unknown boot code has been found on some of your physical disks. |
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows Vista Home Premium Edition Windows Information: Service Pack 2 (build 6002), 32-bit Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD. BIOS Manufacturer: Phoenix Technologies LTD System Manufacturer: SAMSUNG ELECTRONICS CO., LTD. System Product Name: R40P/R41P Logical Drives Mask: 0x0000001c Kernel Drivers (total 144): 0x8201F000 \SystemRoot\system32\ntoskrnl.exe 0x823CA000 \SystemRoot\system32\hal.dll 0x87001000 \SystemRoot\system32\kdcom.dll 0x87008000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x87078000 \SystemRoot\system32\PSHED.dll 0x87089000 \SystemRoot\system32\BOOTVID.dll 0x87091000 \SystemRoot\system32\CLFS.SYS 0x870D2000 \SystemRoot\system32\CI.dll 0x871B2000 \SystemRoot\system32\drivers\Wdf01000.sys 0x8722E000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x8723B000 \SystemRoot\system32\drivers\acpi.sys 0x87281000 \SystemRoot\system32\drivers\WMILIB.SYS 0x8728A000 \SystemRoot\system32\drivers\msisadrv.sys 0x87292000 \SystemRoot\system32\drivers\pci.sys 0x872B9000 \SystemRoot\System32\drivers\partmgr.sys 0x872C8000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x872CB000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x872D5000 \SystemRoot\system32\drivers\volmgr.sys 0x872E4000 \SystemRoot\System32\drivers\volmgrx.sys 0x8732E000 \SystemRoot\system32\drivers\pciide.sys 0x87335000 \SystemRoot\system32\drivers\PCIIDEX.SYS 0x87343000 \SystemRoot\system32\DRIVERS\pcmcia.sys 0x87370000 \SystemRoot\System32\drivers\mountmgr.sys 0x87380000 \SystemRoot\system32\drivers\atapi.sys 0x87388000 \SystemRoot\system32\drivers\ataport.SYS 0x873A6000 \SystemRoot\system32\drivers\fltmgr.sys 0x873D8000 \SystemRoot\system32\drivers\fileinfo.sys 0x87400000 \SystemRoot\System32\Drivers\ksecdd.sys 0x87471000 \SystemRoot\system32\drivers\ndis.sys 0x8757C000 \SystemRoot\system32\drivers\msrpc.sys 0x875A7000 \SystemRoot\system32\drivers\NETIO.SYS 0x875E2000 \SystemRoot\System32\drivers\tcpip.sys 0x876CC000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x876E7000 \SystemRoot\System32\Drivers\Ntfs.sys 0x87803000 \SystemRoot\system32\drivers\volsnap.sys 0x8783C000 \SystemRoot\System32\Drivers\spldr.sys 0x87844000 \SystemRoot\System32\Drivers\mup.sys 0x87853000 \SystemRoot\System32\drivers\ecache.sys 0x8787A000 \SystemRoot\system32\drivers\disk.sys 0x8788B000 \SystemRoot\system32\drivers\CLASSPNP.SYS 0x878AC000 \SystemRoot\system32\drivers\crcdisk.sys 0x878D5000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x878E0000 \SystemRoot\system32\DRIVERS\tunmp.sys 0x878E9000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x878F8000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x8B804000 \SystemRoot\system32\DRIVERS\atikmdag.sys 0x878FC000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8BF8C000 \SystemRoot\System32\drivers\watchdog.sys 0x8BF98000 \SystemRoot\system32\DRIVERS\usbohci.sys 0x8BFA2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8BFE0000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8799B000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x8BFEF000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0x879B3000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x87A40000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8BFF5000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x87A53000 \SystemRoot\system32\DRIVERS\SynTP.sys 0x8B800000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x87A7E000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x87A89000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys 0x87A9A000 \SystemRoot\system32\DRIVERS\athr.sys 0x87B1B000 \SystemRoot\system32\DRIVERS\sdbus.sys 0x87B35000 \SystemRoot\system32\DRIVERS\rimmptsk.sys 0x87B44000 \SystemRoot\system32\DRIVERS\rimsptsk.sys 0x87B58000 \SystemRoot\system32\DRIVERS\rixdptsk.sys 0x87BA9000 \SystemRoot\system32\DRIVERS\msiscsi.sys 0x8C001000 \SystemRoot\system32\DRIVERS\storport.sys 0x8C042000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8C04D000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x8C064000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x8C06F000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x8C092000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x8C0A1000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x8C0B5000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x8C0CA000 \SystemRoot\system32\DRIVERS\termdd.sys 0x8C0DA000 \SystemRoot\system32\DRIVERS\swenum.sys 0x8C0DC000 \SystemRoot\system32\DRIVERS\ks.sys 0x8C106000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x8C110000 \SystemRoot\system32\DRIVERS\umbus.sys 0x8C11D000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x8C152000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x8C163000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0x8C27F000 \SystemRoot\system32\drivers\modem.sys 0x8C40A000 \SystemRoot\system32\drivers\RTKVHDA.sys 0x8C59B000 \SystemRoot\system32\drivers\portcls.sys 0x8C5C8000 \SystemRoot\system32\drivers\drmk.sys 0x8C5ED000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x8C5F6000 \SystemRoot\System32\Drivers\Null.SYS 0x8C5FD000 \SystemRoot\System32\Drivers\Beep.SYS 0x8C604000 \SystemRoot\System32\drivers\vga.sys 0x8C610000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x8C631000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x8C639000 \SystemRoot\system32\drivers\rdpencdd.sys 0x8C641000 \SystemRoot\System32\Drivers\Msfs.SYS 0x8C64C000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8C65A000 \SystemRoot\System32\DRIVERS\rasacd.sys 0x8C663000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8C679000 \SystemRoot\system32\DRIVERS\smb.sys 0x8C68D000 \SystemRoot\system32\drivers\afd.sys 0x8C6D5000 \SystemRoot\System32\DRIVERS\netbt.sys 0x8C707000 \SystemRoot\system32\DRIVERS\pacer.sys 0x8C71D000 \SystemRoot\system32\DRIVERS\netbios.sys 0x8C72B000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x8C73E000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0x8C744000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x8C780000 \SystemRoot\system32\drivers\nsiproxy.sys 0x8C78A000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x8C793000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x8C7A3000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x8C7AA000 \SystemRoot\System32\Drivers\dfsc.sys 0x8C7C1000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x8C7C9000 \SystemRoot\System32\Drivers\crashdmp.sys 0x8C7D6000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x8C7E1000 \SystemRoot\System32\Drivers\dump_atapi.sys 0x94CE0000 \SystemRoot\System32\win32k.sys 0x8C7E9000 \SystemRoot\System32\drivers\Dxapi.sys 0x94F00000 \SystemRoot\System32\TSDDD.dll 0x94F20000 \SystemRoot\System32\cdd.dll 0x8C29B000 \SystemRoot\system32\drivers\luafv.sys 0x8C7F3000 \SystemRoot\system32\DRIVERS\kmdfmemio.sys 0x8C2B6000 \SystemRoot\system32\drivers\spsys.sys 0x8C366000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x8C376000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x8C3A0000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x8C3AA000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x9840D000 \SystemRoot\system32\drivers\HTTP.sys 0x9847A000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x98497000 \SystemRoot\system32\DRIVERS\bowser.sys 0x984B0000 \SystemRoot\System32\drivers\mpsdrv.sys 0x984C5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x984E4000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x9851D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x98535000 \SystemRoot\System32\DRIVERS\srv2.sys 0x9855C000 \SystemRoot\System32\DRIVERS\srv.sys 0x985AA000 \SystemRoot\system32\drivers\peauth.sys 0x98688000 \SystemRoot\System32\Drivers\secdrv.SYS 0x98692000 \SystemRoot\System32\drivers\tcpipreg.sys 0x9869E000 \SystemRoot\system32\DRIVERS\cdfs.sys 0x986B4000 \??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS 0x986B9000 \??\C:\Users\flynico\AppData\Local\Temp\pwldyfog.sys 0x986D0000 \SystemRoot\system32\DRIVERS\monitor.sys 0x986DF000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x98716000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x76FF0000 \Windows\System32\ntdll.dll Processes (total 75): 0 System Idle Process 4 System 468 C:\Windows\System32\smss.exe 588 csrss.exe 640 C:\Windows\System32\wininit.exe 652 csrss.exe 684 C:\Windows\System32\services.exe 700 C:\Windows\System32\lsass.exe 708 C:\Windows\System32\lsm.exe 744 C:\Windows\System32\winlogon.exe 896 C:\Windows\System32\svchost.exe 956 C:\Windows\System32\svchost.exe 992 C:\Windows\System32\svchost.exe 1088 C:\Windows\System32\Ati2evxx.exe 1100 C:\Windows\System32\svchost.exe 1136 C:\Windows\System32\svchost.exe 1196 C:\Windows\System32\svchost.exe 1272 C:\Windows\System32\audiodg.exe 1296 C:\Windows\System32\svchost.exe 1332 C:\Windows\System32\SLsvc.exe 1384 C:\Windows\System32\svchost.exe 1516 C:\Windows\System32\Ati2evxx.exe 1560 C:\Windows\System32\svchost.exe 1824 C:\Windows\System32\spoolsv.exe 1852 C:\Windows\System32\svchost.exe 1972 C:\Windows\System32\taskeng.exe 548 C:\Windows\System32\agrsmsvc.exe 568 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 580 C:\Program Files\Bonjour\mDNSResponder.exe 676 C:\Windows\System32\svchost.exe 884 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe 1480 C:\Windows\System32\lxdacoms.exe 880 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe 1468 C:\Windows\System32\PnkBstrA.exe 872 C:\Windows\System32\svchost.exe 864 C:\Program Files\CyberLink\Shared Files\RichVideo.exe 460 C:\Windows\System32\svchost.exe 2072 C:\Windows\System32\svchost.exe 2108 C:\Windows\System32\SearchIndexer.exe 3172 C:\Windows\System32\taskeng.exe 3228 C:\Windows\System32\dwm.exe 3268 C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe 3284 C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe 3292 C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe 3300 C:\Windows\System32\taskeng.exe 3348 C:\Windows\explorer.exe 3364 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe 3492 C:\Program Files\Windows Defender\MSASCui.exe 3500 C:\Windows\RtHDVCpl.exe 3508 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 3588 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 3856 C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe 3884 C:\Program Files\Common Files\Java\Java Update\jusched.exe 3920 C:\Program Files\Windows Sidebar\sidebar.exe 3944 C:\Windows\ehome\ehtray.exe 3952 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 1664 C:\Windows\ehome\ehmsas.exe 3900 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 3224 C:\Windows\System32\conime.exe 4712 C:\Program Files\Avira\AntiVir Desktop\sched.exe 824 C:\Program Files\Avira\AntiVir Desktop\avguard.exe 5580 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 3600 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 4820 taskeng.exe 5088 C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe 1648 C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe 4428 C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2\profilemgr.exe 5444 C:\Program Files\T-Online\T-Online_Software_6\Notifier\Notifier.exe 2940 C:\Windows\System32\SearchProtocolHost.exe 5916 C:\Windows\System32\SearchFilterHost.exe 5268 C:\Program Files\Internet Explorer\iexplore.exe 2304 C:\Program Files\Internet Explorer\iexplore.exe 5436 C:\Program Files\T-Online\T-Online_Software_6\eMail\Mail.exe 4368 C:\Program Files\Mozilla Firefox\firefox.exe 4100 C:\Users\flynico\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`80100000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000013`c3300000 (NTFS) PhysicalDrive0 Model Number: FUJITSUMHW2160BHPL, Rev: 0000001C Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: A2D287FA4F944275462643BCFFB6129A056114F3 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. |
So. Das wäre auch erledigt. Hat soweit alles geklappt. Was kommt jetzt? Vielen Dank erstmal für die professionelle Hilfe!! Nico |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board