Trojaner-Board - TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? (https://www.trojaner-board.de/91278-tr-crypt-xpack-gen3-gefunden-entfernen.html)

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?

Hallo,

Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\Programme\Norton AntiVirus\Savrt\0066NAV~.TMP. Ich habe die Datei in die Quarantäne gesteckt, bin mir aber nicht sicher, ob das Problem damit wirklich gelöst ist. Ich benötige den PC z. B. auch für Online-Banking und habe daher etwas Angst vor Keyloggern etc. Da ich mich nicht allzu sehr mit PCs auskenne benötige ich hier Hilfe, um den Trojaner wieder los zu werden.

Norton AntiVirus wurde schon vor einiger Zeit deinstalliert (war Testversion beim Kauf des PCs), weshalb es mich gewundert hat, dass überhaupt noch ein Ordner davon existiert.

Auf Grund ähnlicher Threads hier im Forum und den Anleitungen habe ich die Programme Anti-Maleware und OTL ausgeführt und die Log-Dateien hier angehängt. Allerdings habe ich die Programme nach der Installation versehentlich unter dem Admin-Konto ausgeführt und erst anschließend unter dem Benutzer-Konto, in welchem der Trojaner gefunden wurde. Im Admin-Account hat Malewarebytes auch etwas gefunden, ich weiß aber nicht, ob das mit der Trojaner-Warnung in Zusammenhang steht. Ich habe dort dann auf "Ausgewähltes entfernen" geklickt. War das ein Fehler?

Hier die Logs vom Admin-Konto:
Anhang 9283
Anhang 9284
Anhang 9285

Und hier die Logs vom User-Konto:
Anhang 9286
Anhang 9287
Anhang 9288

Ich bin neu hier und kenne mich nicht gut mit PCs aus und danke daher jedem, der mir hier helfen kann.

Vielen Dank!
Toppy

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Alle Analyse-Tools müssen als Admin ausgeführt werden!

Hallo Cosinus,

danke für deine Hilfe.
Hier die Logdatei vom Malewarbyte-Vollscan. Es wurde tatsächlich noch was gefunden. Ob das wohl was mit dem Trojaner zu tun hat? Ich habe die Dateien löschen lassen und nach Aufforderung den PC neu gestartet. Beim Booten wurde komischerweise ein "Scandisc" ausgeführt, aber keine Fehler gefunden.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4724
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

01.10.2010 00:16:04

mbam-log-2010-10-01 (00-16-04).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 194489

Laufzeit: 45 Minute(n), 3 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009050.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009052.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009053.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Ok, die Wiederherstellung ist deaktiviert. In der erwähnten Anleitung heißt es an einer Stelle "... dann das Häkchen wieder rausnehmen.(also wieder aktivieren)". Ich hab die Funktion trotzdem deaktiviert gelassen. Ist das so richtig? Ich brauche die Funktion sowieso nicht. Soll ich nun nochmals nen Malwarebyte-Vollscan laufen lassen?

Gruß
Toppy

Ja ist so richtig.
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok, wurde erledigt.
Mit dem CCleaner lief alles wie beschrieben. Allerdings konnte ich vor dem Start von Combofix "Avira AntiVir" nicht vollständig beenden und lediglich den Guard deaktivieren. Auch über den TaskManager ging nichts. Es kam immer die Meldung "Programm kann nicht beendet werden! Zugriff verweigert" (obwohl ich ja als Admin angemeldet war). Hab Combofix dann trotzdem laufen lassen. War das ok? Es lief sonst auch hier alles wie in der Anleitung beschrieben.
Edit: Zählt die Windows Firewall auch als Hintergrundwächter? Dann muss ich es nochmal machen, die war nämlich noch an.

Code:

ComboFix 10-09-30.03 - Admin 01.10.2010  11:24:58.1.1 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.502.267 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\autorun.ini
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-01 bis 2010-10-01  ))))))))))))))))))))))))))))))

.
 

2010-10-01 09:04 . 2010-10-01 09:04    --------    d-----w-    c:\programme\CCleaner

2010-09-29 10:14 . 2010-09-29 10:14    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2010-09-29 09:32 . 2010-09-29 09:32    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes

2010-09-29 09:32 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-29 09:32 . 2010-09-29 09:32    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware

2010-09-29 09:32 . 2010-09-29 09:32    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-09-29 09:32 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys

2010-09-29 09:21 . 2010-09-29 09:21    --------    d-----r-    c:\dokumente und einstellungen\LocalService\Eigene Dateien

2010-09-29 08:12 . 2010-09-29 08:12    --------    d-----r-    c:\dokumente und einstellungen\LocalService\Favoriten

2010-09-29 08:11 . 2010-09-29 08:11    --------    d-sh--w-    c:\dokumente und einstellungen\LocalService\IETldCache

2010-09-28 13:52 . 2008-06-23 20:20    95744    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP540 series Printer\LanguageModules\0407\CNMsr9E.dll

2010-09-28 13:50 . 2010-09-28 13:50    --------    d--h--w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ

2010-09-28 13:50 . 2008-05-26 20:00    69632    ----a-w-    c:\windows\system32\Spool\prtprocs\w32x86\CNMPP9E.DLL

2010-09-28 13:50 . 2008-05-26 20:00    27136    ----a-w-    c:\windows\system32\Spool\prtprocs\w32x86\CNMPD9E.DLL

2010-09-28 13:50 . 2008-05-26 20:00    230912    ----a-w-    c:\windows\system32\CNMLM9E.DLL

2010-09-28 13:50 . 2010-09-28 13:50    --------    d--h--w-    c:\windows\system32\CanonIJ Uninstaller Information

2010-09-28 13:49 . 2008-05-30 00:27    270336    ----a-w-    c:\windows\system32\CNC540L.DLL

2010-09-28 13:49 . 2008-04-07 05:58    1339392    ----a-w-    c:\windows\system32\CNC540C.DLL

2010-09-28 13:49 . 2008-04-07 05:58    98304    ----a-w-    c:\windows\system32\CNC540I.DLL

2010-09-28 13:49 . 2007-03-15 05:12    188416    ----a-w-    c:\windows\system32\CNC540O.DLL

2010-09-28 13:49 . 2010-09-28 13:49    --------    d--h--w-    c:\programme\CanonBJ

2010-09-28 13:46 . 2010-09-28 13:46    --------    d-----w-    c:\programme\Canon

2010-09-28 10:31 . 2010-09-28 10:31    --------    d-sh--w-    c:\dokumente und einstellungen\***\IECompatCache

2010-09-25 17:19 . 2010-09-25 17:19    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Identities

2010-09-25 16:38 . 2010-09-25 16:38    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Design Science

2010-09-24 12:44 . 2010-09-24 12:44    --------    d-----w-    c:\windows\Sun

2010-09-24 07:19 . 2010-09-24 07:19    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Tracker Software

2010-09-22 21:12 . 2010-09-22 21:12    61440    ----a-w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-72969538-n\decora-sse.dll

2010-09-22 21:12 . 2010-09-22 21:12    12800    ----a-w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-72969538-n\decora-d3d.dll

2010-09-22 14:31 . 2009-12-09 15:31    20992    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\4r03ev7s.default\extensions\{de1b245c-de57-11da-ba2d-0050c2490048}\library\WINNT-32\MinimizeToTrayPlus.dll

2010-09-22 13:53 . 2010-09-22 13:53    --------    d-----w-    c:\dokumente und einstellungen\***\.tuxguitar-1.2

2010-09-22 13:53 . 2010-09-22 13:53    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Herac

2010-09-22 13:51 . 2010-09-22 13:51    --------    d-----w-    c:\windows\system32\NtmsData

2010-09-21 21:36 . 2010-09-21 21:37    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\vlc

2010-09-21 17:22 . 2010-09-21 17:22    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\vlc

2010-09-21 13:12 . 2010-09-21 13:12    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Avira

2010-09-21 12:50 . 2010-09-21 12:50    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Search Settings

2010-09-21 12:45 . 2001-10-28 15:42    116224    ----a-w-    c:\windows\system32\pdfcmnnt.dll

2010-09-21 12:44 . 1998-07-06 16:56    125712    ----a-w-    c:\windows\system32\VB6DE.DLL

2010-09-21 12:44 . 1998-07-06 16:55    158208    ----a-w-    c:\windows\system32\MSCMCDE.DLL

2010-09-21 12:44 . 1998-07-06 16:55    64512    ----a-w-    c:\windows\system32\MSCC2DE.DLL

2010-09-21 12:44 . 1998-07-05 23:00    23552    ----a-w-    c:\windows\system32\MSMPIDE.DLL

2010-09-21 09:05 . 2010-09-21 09:05    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Free Monitor for Google

2010-09-20 21:43 . 2010-09-01 13:52    66112    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlus_Helper_3004.dll

2010-09-20 21:43 . 2010-09-01 13:52    35136    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

2010-09-20 21:43 . 2010-09-01 13:52    328080    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe.exe

2010-09-20 21:43 . 2010-09-01 13:52    32032    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe

2010-09-20 16:48 . 2010-09-20 16:48    --------    d-----w-    c:\programme\Microsoft Silverlight

2010-09-20 16:28 . 2010-09-20 16:28    503808    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\msvcp71.dll

2010-09-20 16:28 . 2010-09-20 16:28    499712    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\jmc.dll

2010-09-20 16:28 . 2010-09-20 16:28    348160    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\msvcr71.dll

2010-09-20 16:27 . 2010-09-20 16:27    61440    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d755812-n\decora-sse.dll

2010-09-20 16:27 . 2010-09-20 16:27    12800    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d755812-n\decora-d3d.dll

2010-09-20 15:12 . 2010-09-20 15:12    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Adobe

2010-09-20 12:14 . 2010-09-20 12:14    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\IBP

2010-09-20 12:10 . 2010-09-20 12:11    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla

2010-09-20 11:58 . 2010-09-20 11:58    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla

2010-09-20 11:52 . 2010-09-20 11:52    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Thunderbird

2010-09-20 11:52 . 2010-09-20 11:52    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird

2010-09-20 11:37 . 2010-09-20 11:37    --------    d-sh--w-    c:\dokumente und einstellungen\***\IETldCache

2010-09-20 10:33 . 2000-03-10 08:05    863744    ----a-w-    c:\windows\system32\Cw3245mt.dll

2010-09-20 10:33 . 2000-03-10 08:05    271872    ----a-w-    c:\windows\system32\Cxf0332b.dll

2010-09-20 10:33 . 2000-03-10 08:05    260096    ----a-w-    c:\windows\system32\Cxf0332a.dll

2010-09-20 10:33 . 2000-03-10 08:05    25088    ----a-w-    c:\windows\system32\Cxf0332c.dll

2010-09-20 10:32 . 2007-05-16 08:30    118784    ----a-w-    c:\windows\system32\SciFiSoft.dll

2010-09-20 10:13 . 2010-09-20 10:13    --------    d-----w-    c:\programme\Gemeinsame Dateien\Deterministic Networks

2010-09-20 09:49 . 2010-09-20 09:49    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\IBP

2010-09-20 09:47 . 2010-09-20 09:47    10134    ----a-r-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe

2010-09-20 09:47 . 2010-09-20 09:47    766    ----a-r-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\htmledit.exe

2010-09-20 09:29 . 2010-09-20 09:29    --------    d-----w-    c:\windows\Internet Logs

2010-09-20 09:10 . 2010-09-20 09:10    --------    d-----w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Help

2010-09-20 09:03 . 1997-08-15 12:20    299008    ----a-w-    c:\windows\unin0407.exe

2010-09-20 09:03 . 2010-09-20 09:03    --------    d-----w-    c:\dokumente und einstellungen\Admin\WINDOWS

2010-09-20 08:57 . 2010-09-20 08:57    --------    d-----w-    c:\windows\ShellNew

2010-09-20 08:56 . 2010-09-20 08:56    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft Web Folders

2010-09-20 08:52 . 2010-09-20 08:52    --------    d-----w-    c:\programme\Gemeinsame Dateien\Nero

2010-09-20 08:49 . 2000-06-26 09:45    106496    ----a-w-    c:\windows\system32\TwnLib20.dll

2010-09-20 08:49 . 2004-07-26 15:16    476320    ------w-    c:\windows\system32\ImagXpr7.dll

2010-09-20 08:49 . 2004-07-26 15:16    471040    ------w-    c:\windows\system32\ImagXRA7.dll

2010-09-20 08:49 . 2004-07-26 15:16    262144    ------w-    c:\windows\system32\ImagXR7.dll

2010-09-20 08:49 . 2004-07-26 15:16    1568768    ------w-    c:\windows\system32\ImagX7.dll

2010-09-20 08:49 . 2001-07-09 09:50    155648    ----a-w-    c:\windows\system32\NeroCheck.exe

2010-09-20 08:49 . 2010-09-20 08:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Ahead

2010-09-20 08:33 . 2010-09-20 08:33    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe

2010-09-20 08:14 . 2010-09-20 08:14    --------    d-----w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Adobe

2010-09-20 07:57 . 2008-04-14 05:52    221184    ----a-w-    c:\windows\system32\wmpns.dll

2010-09-20 07:41 . 2010-09-20 07:41    --------    d-----w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Thunderbird

2010-09-20 07:41 . 2010-09-20 07:41    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Thunderbird

2010-09-20 07:41 . 2010-09-20 07:41    --------    d-----w-    c:\programme\Mozilla Thunderbird

2010-09-20 07:27 . 2010-06-24 12:22    599040    ------w-    c:\windows\system32\dllcache\msfeeds.dll

2010-09-20 07:27 . 2010-06-24 12:22    55296    ------w-    c:\windows\system32\dllcache\msfeedsbs.dll

2010-09-20 07:27 . 2010-06-24 12:21    247808    ------w-    c:\windows\system32\dllcache\ieproxy.dll

2010-09-20 07:27 . 2010-06-24 12:22    1986560    ------w-    c:\windows\system32\dllcache\iertutil.dll

2010-09-20 07:27 . 2010-06-24 12:22    12800    ------w-    c:\windows\system32\dllcache\xpshims.dll

2010-09-20 07:27 . 2010-06-24 12:21    743424    ------w-    c:\windows\system32\dllcache\iedvtool.dll

2010-09-20 07:26 . 2008-06-14 17:32    273024    ------w-    c:\windows\system32\dllcache\bthport.sys

2010-09-20 07:24 . 2010-06-21 15:27    354304    ------w-    c:\windows\system32\dllcache\srv.sys

2010-09-20 07:13 . 2009-11-21 15:54    471552    ------w-    c:\windows\system32\dllcache\aclayers.dll

2010-09-20 07:12 . 2010-06-14 14:31    744448    ------w-    c:\windows\system32\dllcache\helpsvc.exe

2010-09-20 07:10 . 2009-06-21 21:45    153088    ------w-    c:\windows\system32\dllcache\triedit.dll

2010-09-20 07:10 . 2010-04-28 18:11    2192256    ------w-    c:\windows\system32\dllcache\ntoskrnl.exe

2010-09-20 07:10 . 2010-04-28 05:41    2148864    ------w-    c:\windows\system32\dllcache\ntkrnlmp.exe

2010-09-20 07:10 . 2010-04-28 05:41    2069120    ------w-    c:\windows\system32\dllcache\ntkrnlpa.exe

2010-09-20 07:10 . 2010-04-28 05:41    2027008    ------w-    c:\windows\system32\dllcache\ntkrpamp.exe

2010-09-20 07:03 . 2008-05-01 14:34    331776    ------w-    c:\windows\system32\dllcache\msadce.dll

2010-09-20 06:44 . 2009-02-06 10:10    227840    ------w-    c:\windows\system32\dllcache\wmiprvse.exe

2010-09-20 06:44 . 2009-03-06 14:19    286720    ------w-    c:\windows\system32\dllcache\pdh.dll

2010-09-20 06:44 . 2009-02-09 11:21    111104    ------w-    c:\windows\system32\dllcache\services.exe

2010-09-20 06:44 . 2009-02-09 10:51    401408    ------w-    c:\windows\system32\dllcache\rpcss.dll

2010-09-20 06:44 . 2009-02-09 10:51    473600    ------w-    c:\windows\system32\dllcache\fastprox.dll

2010-09-20 06:44 . 2009-02-09 10:51    740352    ------w-    c:\windows\system32\dllcache\ntdll.dll

2010-09-20 06:44 . 2009-02-09 10:51    678400    ------w-    c:\windows\system32\dllcache\advapi32.dll

2010-09-20 06:44 . 2009-02-09 10:51    453120    ------w-    c:\windows\system32\dllcache\wmiprvsd.dll

2010-09-20 06:35 . 2008-10-15 16:35    337408    ------w-    c:\windows\system32\dllcache\netapi32.dll

2010-09-20 06:34 . 2008-04-21 21:13    217600    ------w-    c:\windows\system32\dllcache\wordpad.exe

2010-09-20 06:29 . 2010-09-20 06:29    --------    d-----w-    c:\windows\ie8updates

2010-09-20 06:29 . 2010-09-20 06:29    --------    d-----w-    c:\programme\MSXML 4.0

2010-09-20 06:26 . 2010-02-24 13:11    455680    ------w-    c:\windows\system32\dllcache\mrxsmb.sys

2010-09-20 06:25 . 2009-10-15 16:28    81920    ------w-    c:\windows\system32\dllcache\fontsub.dll

2010-09-20 06:25 . 2009-10-15 16:28    119808    ------w-    c:\windows\system32\dllcache\t2embed.dll

2010-09-20 06:24 . 2010-02-12 10:03    293376    ------w-    c:\windows\system32\browserchoice.exe

2010-09-20 06:21 . 2010-06-18 13:36    3558912    ------w-    c:\windows\system32\dllcache\moviemk.exe

2010-09-19 22:10 . 2008-05-08 14:02    203136    ------w-    c:\windows\system32\dllcache\rmcast.sys

2010-09-17 13:27 . 2010-09-17 13:27    --------    d-----w-    c:\windows\system32\autorun

2010-09-17 12:13 . 2010-09-17 12:13    --------    d-----w-    c:\programme\Gemeinsame Dateien\Logitech
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-01 07:39 . 2006-08-04 16:01    12    ----a-w-    c:\windows\bthservsdp.dat

2010-09-24 06:43 . 2006-08-02 12:59    64848    ----a-w-    c:\windows\system32\perfc007.dat

2010-09-24 06:43 . 2006-08-02 12:59    393086    ----a-w-    c:\windows\system32\perfh007.dat

2010-09-20 12:17 . 2009-08-06 08:42    43096    ----a-w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-09-20 11:37 . 2010-09-17 11:55    43096    ----a-w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-09-20 09:04 . 2010-09-20 09:04    --------    d-----w-    c:\programme\Gemeinsame Dateien\Kodak

2010-09-17 11:57 . 2010-09-17 11:55    136    ----a-w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

2010-09-17 11:27 . 2004-06-25 15:13    176    ----a-w-    c:\windows\HotFix.bat

2010-08-17 13:17 . 2004-08-04 03:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe

2010-07-22 15:48 . 2004-08-04 03:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2010-07-22 06:19    5632    ------w-    c:\windows\system32\xpsp4res.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 88204]

"RTHDCPL"="RTHDCPL.EXE" [2006-07-19 16248320]

"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-07-19 53248]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 766041]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]

"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 208896]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-06-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-06-13 118784]

"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-12 438272]

"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]

"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 471040]

"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-6-29 45056]

Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-6 692224]

Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-8-6 67128]

Microsoft Office.lnk - d:\programmed\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico [2010-9-20 6144]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.08.2009 23:39 135336]

S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\DRIVERS\lv321av.sys --> c:\windows\system32\DRIVERS\lv321av.sys [?]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\2dk4fxlo.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npSfAppM.dll

FF - plugin: d:\programmed\PDF x-Change\PDF Viewer\npPDFXCviewNPPlugin.dll
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-IBP - (no file)
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-10-01 11:29

Windows 5.1.2600 Service Pack 3 FAT NTAPI
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2010-10-01  11:31:16

ComboFix-quarantined-files.txt  2010-10-01 09:31
 

Vor Suchlauf: 6.030.303.232 Bytes frei

Nach Suchlauf: 6.007.472.128 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 0EB822C526BA6FDC1E23FB9A3155C249

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hier mal die Logs von GMER und OSAM und Bootkit-Remover. GMER ist beim Schließen des Programmes abgestürtzt, musste Reset drücken. Beim Booten wurde dann eine Meldung angezeigt, dass eine Datei (wurde nicht näher benannt) wiederhergestellt werden musste.

GMER-Log:

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-10-01 13:10:49

Windows 5.1.2600 Service Pack 3

Running: qucnopvj.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\agldqpog.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8C3ECB6                                                                                                   ZwCreateKey

SSDT            F8C3ECAC                                                                                                   ZwCreateThread

SSDT            F8C3ECBB                                                                                                   ZwDeleteKey

SSDT            F8C3ECC5                                                                                                   ZwDeleteValueKey

SSDT            F8C3ECCA                                                                                                   ZwLoadKey

SSDT            F8C3EC98                                                                                                   ZwOpenProcess

SSDT            F8C3EC9D                                                                                                   ZwOpenThread

SSDT            F8C3ECD4                                                                                                   ZwReplaceKey

SSDT            F8C3ECCF                                                                                                   ZwRestoreKey

SSDT            F8C3ECC0                                                                                                   ZwSetValueKey
 

Code            \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys                                                            pIofCallDriver
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys                                                                Das System kann die angegebene Datei nicht finden. !

?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                 Das System kann die angegebene Datei nicht finden. !

?               C:\DOKUME~1\Admin\LOKALE~1\Temp\mbr.sys                                                                    Das System kann die angegebene Datei nicht finden. !
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00EE2BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

IAT             D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00EE2CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

IAT             D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00EE2CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                   fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cedc7b19                                

Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cedc7b19 (not active ControlSet)            
 

---- EOF - GMER 1.0.15 ----

OSAM-Log:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 13:42:59 on 01.10.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.6.10
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"CAMCPL.CPL" - "FotoNation inc." - C:\WINDOWS\system32\CAMCPL.CPL

"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\JAVACPL.CPL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"catchme" (catchme) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys

"Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys

"int15" (int15) - ? - C:\WINDOWS\system32\drivers\int15.sys  (File found, but it contains no detailed information)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"Logitech USB PC Camera (VC0321)" (lv321av) - ? - C:\WINDOWS\System32\DRIVERS\lv321av.sys  (File not found)

"Microsoft HID Class-Treiber" (HidUsb) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\hidusb.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"psdfilter" (psdfilter) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdfilter.sys

"psdvdisk" (psdvdisk) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdvdisk.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"SYMIDSCO" (SYMIDSCO) - ? - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\IDS-DI~1\20050901.036\symidsco.sys  (File not found)

"tvicport" (tvicport) - "EnTech Taiwan" - C:\WINDOWS\system32\drivers\tvicport.sys

"Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys

"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys

"WAN Miniport (ATW)" (wanatw) - ? - C:\WINDOWS\System32\DRIVERS\wanatw4.sys  (File not found)

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

"zntport" (zntport) - "Zeal SoftStudio" - C:\WINDOWS\system32\drivers\zntport.sys
 

[Explorer]

-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{9462A756-7B47-47BC-8C80-C34B9B80B32B} "BackWeb GA Pluggable Protocol" - "Logitech Inc." - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0} "EPM-PO Shell Extensions" - "Acer Labs USA" - C:\WINDOWS\system32\epm-po.dll

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\kbcplext.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{B9B9F083-2B04-452A-8691-83694AC1037B} "LogiExt Class" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\mcplext.dll

{C56C4E21-706D-11d0-AFC5-444553540002} "Meine Digitalkamera" - "FotoNation Inc." - d:\programmed\Adobe\FotoNation Explorer\camview.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office\OLKFSTUB.DLL

{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll

{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll

{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll

{5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\PXCPrevHost.exe

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - D:\ProgrammeD\WinRar\rarext.dll

XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? -   (File not found | COM-object registry key not found)
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"Messenger" - ? - C:\Programme\Messenger\msmsgs.exe  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "Acer eDataSecurity Management" - "HiTRUST" - C:\WINDOWS\system32\eDStoolbar.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"Acer Empowering Technology.lnk" - "Acer Inc." - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe  (Shortcut exists | File exists)

"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DESKTOP.INI

"Logitech Desktop Messenger.lnk" - "Logitech Inc." - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe  (Shortcut exists | File exists)

"Logitech SetPoint.lnk" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\SetPoint.exe  (Shortcut exists | File exists)

"Microsoft Office.lnk" - "Microsoft Corporation" - D:\ProgrammeD\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)

"VPN Client.lnk" - "Cisco Systems, Inc." - D:\ProgrammeD\VPN\vpngui.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\DESKTOP.INI

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Acer ePresentation HPD" - "Acer Inc." - C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"AzMixerSel" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\InstallShield\AzMixerSel.exe

"Boot" - ? - C:\Acer\Empowering Technology\ePower\Boot.exe  (File found, but it contains no detailed information)

"eDataSecurity Loader" - "HiTRUST" - C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0

"ePower_DMC" - ? - C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

"eRecoveryService" - "Acer Inc." - C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

"LaunchApp" - "Acer Inc." - Alaunch

"LManager" - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASP.NET-Statusdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - D:\ProgrammeD\VPN\cvpnd.exe

"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

"Memory Check Service" (AcerMemUsageCheckService) - "Acer Inc." - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Bootkit-Remover:
Anhang 9382

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Sorry, hat bisschen länger gedauert.

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:            

Windows Version:        Windows XP Home Edition

Windows Information:        Service Pack 3 (build 2600)

Logical Drives Mask:        0x0000001c
 

Kernel Drivers (total 178):

  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

  0x806E5000 \WINDOWS\system32\hal.dll

  0xF8AF5000 \WINDOWS\system32\KDCOM.DLL

  0xF8A05000 \WINDOWS\system32\BOOTVID.dll

  0xF84C5000 ACPI.sys

  0xF8AF7000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

  0xF84B4000 pci.sys

  0xF85F5000 isapnp.sys

  0xF8605000 ohci1394.sys

  0xF8615000 \WINDOWS\system32\DRIVERS\1394BUS.SYS

  0xF8A09000 compbatt.sys

  0xF8A0D000 \WINDOWS\system32\DRIVERS\BATTC.SYS

  0xF8BBD000 pciide.sys

  0xF8875000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xF8AF9000 aliide.sys

  0xF8AFB000 intelide.sys

  0xF8AFD000 toside.sys

  0xF8AFF000 viaide.sys

  0xF8B01000 cmdide.sys

  0xF8625000 MountMgr.sys

  0xF8477000 ftdisk.sys

  0xF8A11000 ACPIEC.sys

  0xF8BBE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS

  0xF887D000 PartMgr.sys

  0xF8635000 VolSnap.sys

  0xF8A15000 cpqarray.sys

  0xF845F000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS

  0xF8447000 atapi.sys

  0xF8A19000 aha154x.sys

  0xF8885000 sparrow.sys

  0xF8A1D000 symc810.sys

  0xF8645000 aic78xx.sys

  0xF8A21000 dac960nt.sys

  0xF8655000 ql10wnt.sys

  0xF8A25000 amsint.sys

  0xF888D000 asc.sys

  0xF8A29000 asc3550.sys

  0xF8895000 mraid35x.sys

  0xF889D000 i2omp.sys

  0xF8A2D000 ini910u.sys

  0xF8665000 ql1240.sys

  0xF8675000 aic78u2.sys

  0xF88A5000 symc8xx.sys

  0xF88AD000 sym_hi.sys

  0xF88B5000 sym_u3.sys

  0xF88BD000 ABP480N5.SYS

  0xF88C5000 asc3350p.sys

  0xF8B03000 cd20xrnt.sys

  0xF8685000 ultra.sys

  0xF842E000 adpu160m.sys

  0xF88CD000 dpti2o.sys

  0xF8695000 ql1080.sys

  0xF86A5000 ql1280.sys

  0xF86B5000 ql12160.sys

  0xF88D5000 perc2.sys

  0xF8B05000 perc2hib.sys

  0xF88DD000 hpn.sys

  0xF8A31000 cbidf2k.sys

  0xF8402000 dac2w2k.sys

  0xF86C5000 disk.sys

  0xF86D5000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xF83E2000 fltmgr.sys

  0xF83D0000 sr.sys

  0xF83AC000 Fastfat.sys

  0xF8395000 KSecDD.sys

  0xF8368000 NDIS.sys

  0xF86E5000 sisagp.sys

  0xF86F5000 viaagp.sys

  0xF834E000 Mup.sys

  0xF8705000 agp440.sys

  0xF8715000 alim1541.sys

  0xF8725000 amdagp.sys

  0xF8735000 agpCPQ.sys

  0xF8765000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xF8110000 \SystemRoot\system32\DRIVERS\ialmnt5.sys

  0xF80FC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xF80D4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0xF8935000 \SystemRoot\system32\DRIVERS\usbuhci.sys

  0xF80B0000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xF893D000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xF8038000 \SystemRoot\system32\DRIVERS\ar5211.sys

  0xF8775000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0xF8945000 \SystemRoot\system32\DRIVERS\DKbFltr.sys

  0xF894D000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xF8008000 \SystemRoot\system32\DRIVERS\SynTP.sys

  0xF8B09000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xF8955000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xF8785000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xF8795000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xF87A5000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xF7FE5000 \SystemRoot\system32\DRIVERS\ks.sys

  0xF8B0B000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys

  0xF8AB1000 \SystemRoot\system32\DRIVERS\CmBatt.sys

  0xF8AB5000 \SystemRoot\system32\DRIVERS\wmiacpi.sys

  0xF7FC6000 \SystemRoot\system32\DRIVERS\dne2000.sys

  0xF8C0D000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xF895D000 \SystemRoot\system32\DRIVERS\rasirda.sys

  0xF8965000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xF87B5000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xF8ABD000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xF7FAF000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xF87C5000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xF87D5000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xF7EFE000 \SystemRoot\system32\DRIVERS\psched.sys

  0xF87E5000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xF896D000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xF8975000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xF87F5000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xF8B0D000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xF7EA0000 \SystemRoot\system32\DRIVERS\update.sys

  0xF8ACD000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xF8805000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xAA37E000 \SystemRoot\system32\drivers\RtkHDAud.sys

  0xAA35A000 \SystemRoot\system32\drivers\portcls.sys

  0xF8835000 \SystemRoot\system32\drivers\drmk.sys

  0xAA247000 \SystemRoot\system32\DRIVERS\AGRSM.sys

  0xF897D000 \SystemRoot\System32\Drivers\Modem.SYS

  0xF8855000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xF8272000 \SystemRoot\System32\Drivers\i2omgmt.SYS

  0xF8B11000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xF8C6F000 \SystemRoot\System32\Drivers\Null.SYS

  0xF8B13000 \SystemRoot\System32\Drivers\Beep.SYS

  0xF899D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xF89A5000 \SystemRoot\System32\drivers\vga.sys

  0xF8B15000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xF8B17000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xF89AD000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xF89B5000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xF826A000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xAA1EC000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xAA193000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xAA16B000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xAA149000 \SystemRoot\System32\drivers\afd.sys

  0xF8865000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xF89BD000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0xAA02E000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xA9FBE000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xF832E000 \SystemRoot\System32\Drivers\Fips.SYS

  0xA9F9C000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0xA9F4E000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xF831E000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xF8B1B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys

  0xF89C5000 \SystemRoot\system32\DRIVERS\usbccgp.sys

  0xF7E9C000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xF82FE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0xF89CD000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys

  0xF82EE000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS

  0xA9ED3000 \SystemRoot\system32\DRIVERS\Wdf01000.sys

  0xF7E98000 \SystemRoot\system32\DRIVERS\kbdhid.sys

  0xF7E94000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0xF89D5000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys

  0xF82DE000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xA9EBB000 \SystemRoot\System32\Drivers\dump_atapi.sys

  0xF8B1D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xF7E7C000 \SystemRoot\System32\drivers\Dxapi.sys

  0xF89DD000 \SystemRoot\System32\watchdog.sys

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xF8C90000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF021000 \SystemRoot\System32\ialmdnt5.dll

  0xBF012000 \SystemRoot\System32\ialmrnt5.dll

  0xBF043000 \SystemRoot\System32\ialmdev5.DLL

  0xBF07E000 \SystemRoot\System32\ialmdd5.DLL

  0xA9D66000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0xA9BE8000 \SystemRoot\system32\DRIVERS\irda.sys

  0xA9C92000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0xA99DB000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0xA98AB000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys

  0xA989A000 \??\C:\WINDOWS\system32\drivers\int15.sys

  0xA981B000 \SystemRoot\system32\DRIVERS\srv.sys

  0xA987E000 \??\C:\WINDOWS\system32\drivers\tvicport.sys

  0xF8CF4000 \??\C:\WINDOWS\system32\drivers\zntport.sys

  0xA9446000 \SystemRoot\system32\drivers\wdmaud.sys

  0xA9B40000 \SystemRoot\system32\drivers\sysaudio.sys

  0xA92EF000 \SystemRoot\System32\Drivers\HTTP.sys

  0xAA089000 \??\C:\WINDOWS\system32\Drivers\psdfilter.sys

  0xA914C000 \??\C:\WINDOWS\system32\Drivers\psdvdisk.sys

  0x7C910000 \WINDOWS\System32\ntdll.dll
 

Processes (total 49):

       0 System Idle Process

       4 System

     652 C:\WINDOWS\System32\SMSS.EXE

     736 CSRSS.EXE

     760 C:\WINDOWS\System32\WINLOGON.EXE

     804 C:\WINDOWS\System32\SERVICES.EXE

     816 C:\WINDOWS\System32\LSASS.EXE

     960 C:\Programme\Avira\AntiVir Desktop\AVGUARD.EXE

     980 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE

    1136 C:\WINDOWS\System32\SVCHOST.EXE

    1204 SVCHOST.EXE

    1244 C:\WINDOWS\System32\SVCHOST.EXE

    1344 SVCHOST.EXE

    1404 SVCHOST.EXE

    1716 C:\WINDOWS\System32\SPOOLSV.EXE

    1752 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE

    1796 SVCHOST.EXE

    1852 C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

    1912 SVCHOST.EXE

    1948 D:\ProgrammeD\VPN\cvpnd.exe

    1996 C:\Programme\Java\JRE6\BIN\JQS.EXE

    2024 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

     176 C:\WINDOWS\System32\SVCHOST.EXE

    1524 C:\WINDOWS\System32\WBEM\WMIAPSRV.EXE

    1548 WMIPRVSE.EXE

    1556 ALG.EXE

    1620 WMIPRVSE.EXE

    2216 C:\WINDOWS\Explorer.EXE

    2548 C:\WINDOWS\AGRSMMSG.exe

    2608 C:\WINDOWS\RTHDCPL.EXE

    2656 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

    2800 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

    2840 C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

    2872 C:\WINDOWS\System32\hkcmd.exe

    2880 C:\WINDOWS\System32\igfxpers.exe

    2892 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

    2908 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

    3040 C:\Programme\Launch Manager\QtZgAcer.EXE

    3072 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

    3084 C:\Programme\Avira\AntiVir Desktop\avgnt.exe

    3264 C:\WINDOWS\System32\WBEM\unsecapp.exe

    3628 C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe

    3712 C:\Programme\Logitech\SetPoint\SetPoint.exe

    3756 C:\WINDOWS\System32\igfxext.exe

    3792 C:\WINDOWS\System32\igfxsrvc.exe

    3824 C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

    3848 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\RtkBtMnt.exe

    2064 C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE

    1652 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00  (FAT32)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`3507be00  (FAT32)
 

PhysicalDrive0 Model Number: HTS421240H9AT00, Rev: HACOA70S
 

      Size  Device Name          MBR Status

  --------------------------------------------

     37 GB  \\.\PhysicalDrive0   Unknown MBR code

            SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
 
 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
 

Done!

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Ok, hier das neue Log vom Bootkit-Remover:
Anhang 9455

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ok mit beiden Programmen wurde nichts gefunden. Heißt das, dass ich den Trojaner endgültig los bin? :singsing:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4737
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

04.10.2010 11:45:35

mbam-log-2010-10-04 (11-45-35).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 183152

Laufzeit: 38 Minute(n), 16 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

SUPERAntiSpyware Scann-Protokoll

hxxp://www.superantispyware.com
 

Generiert 10/04/2010 bei 12:56 PM
 

Version der Applikation : 4.44.1000
 

Version der Kern-Datenbank : 5624

Version der Spur-Datenbank : 3436
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 01:02:06
 

Gescannte Speicherelemente  : 651

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 5686

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 43728

Erfasste Datei-Elemente   : 0