Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit TR/Crypt.XPACK.Gen3 auf Windows-XP ! (https://www.trojaner-board.de/91297-problem-tr-crypt-xpack-gen3-windows-xp.html)

Attan10 29.09.2010 21:02
Problem mit TR/Crypt.XPACK.Gen3 auf Windows-XP !
 
Hallo !

Habe heute mein Pc angemacht und AntiVir zeigte mir sofort (mehrmals hintereinander) :
In der Datei 'C:\WINDOWS\system32\dxdigpwd.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden.
Ich muss ehrlich zugeben, ich hab nich soo viel Ahnung von PCs und erst Recht keine Ahnung von Viren und Trojanern etc. !

Ich bin verzweifelt !

Hier die empfohlenen Suchläufe :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

29.09.2010 15:17:36
mbam-log-2010-09-29 (15-17-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 210894
Laufzeit: 3 Stunde(n), 9 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ich hoffe ich hab alles richtig gemacht ! Danke schonmal im Voraus für die Hilfe!

cosinus 30.09.2010 18:36
Zitat:
Datenbank Version: 4052
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Attan10 01.10.2010 14:28
Hallo
Als erstes : Danke für die Hilfe !!!
Tut mir leid , hab nicht drauf geachtet das es eine ältere Version von Malwarebytes ist ! Ich habe es jetzt aktualisiert und einen Vollscan durchgeführt.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4725

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

01.10.2010 15:18:01
mbam-log-2010-10-01 (15-18-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 229869
Laufzeit: 2 Stunde(n), 17 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe (Adware.Casino) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{e8ac34d1-ca88-428a-4fc0-17216061d7a2} (Trojan.ZbotR.Gen) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Microgaming\Casino\JackpotCity\install.exe (Adware.Casino) -> No action taken.

cosinus 01.10.2010 14:52
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKCU..\Run: [{E8AC34D1-CA88-428A-4FC0-17216061D7A2}] C:\Dokumente und Einstellungen\ja\Anwendungsdaten\Uxek\yvni.exe File not found
O36 - AppCertDlls: fcMRT - (C:\WINDOWS\dxdigpwd.dll) - C:\WINDOWS\dxdigpwd.dll File not found
[2010.08.09 21:45:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ja\Anwendungsdaten\Uckao
[2010.08.15 12:09:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ja\Anwendungsdaten\Uxek
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Attan10 01.10.2010 22:22
Vielen Dank für die schnelle Hilfe !
Hier das Logfile von OTL


All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{E8AC34D1-CA88-428A-4FC0-17216061D7A2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E8AC34D1-CA88-428A-4FC0-17216061D7A2}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\fcMRT:C:\WINDOWS\dxdigpwd.dll deleted successfully.
C:\Dokumente und Einstellungen\ja\Anwendungsdaten\Uckao folder moved successfully.
C:\Dokumente und Einstellungen\ja\Anwendungsdaten\Uxek folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: 123
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: ja
->Temp folder emptied: 4667197 bytes
->Temporary Internet Files folder emptied: 6105689 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 49535607 bytes
->Flash cache emptied: 15648 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4191302 bytes
->Flash cache emptied: 1959 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65536 bytes
RecycleBin emptied: 361792764 bytes

Total Files Cleaned = 407,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10012010_231139

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 03.10.2010 12:15
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Attan10 03.10.2010 21:21
Vielen Dank !!!
hier das log von combofix :


Combofix Logfile:
Code:
ComboFix 10-10-02.02 - ja 03.10.2010  21:49:48.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.702.436 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ja\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\ja\Anwendungsdaten\BITS
c:\dokumente und einstellungen\ja\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\ja\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\ja\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\ja\Anwendungsdaten\BITS\UPnP.ini
c:\programme\FlashGet Network
c:\programme\FlashGet Network\FlashGet universal\dbtrans_verbose.log
c:\programme\FlashGet Network\FlashGet universal\fgoption.ini
c:\programme\FlashGet Network\FlashGet universal\P2PCfg.ini
c:\programme\FlashGet Network\FlashGet universal\p2spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\p4spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\Profiles\config.dat
c:\programme\FlashGet Network\FlashGet universal\Profiles\tasks.dat
c:\programme\FlashGet Network\FlashGet universal\transaction.log

Infizierte Kopie von c:\windows\system32\drivers\intelppm.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-03 bis 2010-10-03  ))))))))))))))))))))))))))))))
.

2010-10-03 19:11 . 2010-10-03 19:11        --------        d-----w-        c:\programme\CCleaner
2010-10-02 17:12 . 2010-10-02 17:18        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-09-29 13:42 . 2010-09-29 13:42        --------        d-----w-        C:\_OTL
2010-09-25 11:55 . 2010-09-25 11:55        --------        d-----w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-09-25 11:55 . 2010-09-25 11:58        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-09-25 11:55 . 2010-09-25 11:55        --------        d-----w-        c:\programme\DVDVideoSoft
2010-09-24 14:42 . 2010-09-24 14:42        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-09-24 14:42 . 2010-09-24 14:42        503808        ----a-w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-61df2d22-n\msvcp71.dll
2010-09-24 14:42 . 2010-09-24 14:42        61440        ----a-w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1b880889-n\decora-sse.dll
2010-09-24 14:42 . 2010-09-24 14:42        499712        ----a-w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-61df2d22-n\jmc.dll
2010-09-24 14:42 . 2010-09-24 14:42        348160        ----a-w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-61df2d22-n\msvcr71.dll
2010-09-24 14:42 . 2010-09-24 14:42        12800        ----a-w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1b880889-n\decora-d3d.dll
2010-09-24 14:42 . 2010-07-17 03:00        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2010-09-18 11:11 . 2010-09-18 11:11        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData
2010-09-10 17:16 . 2010-09-10 17:16        --------        d-----w-        c:\programme\SNGShark

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 19:16 . 2009-06-19 13:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-03 19:16 . 2009-06-13 14:44        --------        d-----w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\Winamp
2010-10-03 00:46 . 2009-06-27 10:54        --------        d-----w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\Skype
2010-10-02 23:07 . 2009-06-15 16:46        --------        d-----w-        c:\programme\PokerStars
2010-10-02 22:26 . 2009-06-27 11:01        --------        d-----w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\skypePM
2010-09-29 09:24 . 2009-06-26 08:36        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-09-24 14:41 . 2010-01-17 12:31        --------        d-----w-        c:\programme\Java
2010-09-19 09:54 . 2009-06-16 11:44        --------        d-----w-        c:\programme\Poker Skins
2010-09-19 09:54 . 2009-06-15 16:44        --------        d-----w-        c:\programme\ICQ6Toolbar
2010-09-17 15:48 . 2009-06-15 16:44        --------        d-----w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\ICQ
2010-09-03 19:21 . 2009-06-27 09:55        --------        d-----w-        c:\programme\Microsoft Silverlight
2010-08-25 10:51 . 2010-01-01 20:45        --------        d-----w-        c:\dokumente und einstellungen\ja\Anwendungsdaten\dvdcss
2010-07-21 11:53 . 2010-07-21 11:53        236160        ----a-w-        c:\windows\EasyGifAnimator_Toolbar_Uninstaller_4156.exe
2006-05-03 09:06 . 2010-07-24 14:32        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2010-07-24 14:32        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2010-07-24 14:32        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\programme\free-downloads.net\tbfre1.dll" [2010-09-09 2735200]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2009-10-19 187192]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2010-09-09 17:27        2735200        ----a-w-        c:\programme\free-downloads.net\tbfre1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2009-10-19 15:15        1345336        ----a-w-        c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\programme\free-downloads.net\tbfre1.dll" [2010-09-09 2735200]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-10-19 1345336]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\programme\free-downloads.net\tbfre1.dll" [2010-09-09 2735200]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-10-19 1345336]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-08 88203]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 90112]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-10-20 111928]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-01-13 37888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\Belkin\Bluetooth Software\BTTray.exe [2006-6-7 553021]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2009 16:38 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [15.06.2009 18:44 222456]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.06.2009 14:37 721904]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [26.09.2009 05:28 4639136]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://home.sweetim.com
mStart Page = hxxp://home.sweetim.com
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - c:\dokumente und einstellungen\ja\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\dokumente und einstellungen\ja\Anwendungsdaten\Mozilla\Firefox\Profiles\e0dpwbbr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - plugin: c:\dokumente und einstellungen\ja\Anwendungsdaten\Mozilla\Firefox\Profiles\e0dpwbbr.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\progra~1\MICROS~3\Office14\NPAUTHZ.DLL
FF - plugin: c:\progra~1\MICROS~3\Office14\NPSPWRAP.DLL
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-03 22:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-606747145-287218729-725345543-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="f2il02yz+PoZfjShe/bLtuIDuYUBXeXUSWODhqNUumuillSxrfUfT0bxarmfYtLp4zQvX/frLlkGRzjW8wFj1YIjNQTkcipaGHiRsqxfWeML3zNdlQAR2qpUclY4tqG7hrq0toHzSqNvyr03dnd293CDD57I+nETnlnnu4AKgI3ULnXKu/K2ZzeRLfLPDBgAPUy1D3ancm3tlUij0+XCew==XkW7KTUw4/ERXZYHib2UcoL0C2ZB96ivDmVp8Hxoud4WhbS+FPwy3zwTLhtuwow5VXDxMiadgorR9F/GSnOdBg=="
"InitTime"=dword:00009d2c
"LastTime"=dword:00009d2c
"Keyindex"=dword:00000000
.
Zeit der Fertigstellung: 2010-10-03  22:05:12
ComboFix-quarantined-files.txt  2010-10-03 20:04

Vor Suchlauf: 12 Verzeichnis(se), 21.374.369.792 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 21.415.817.216 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - F6EEB44EFB7168CE8FA3478F4B2604A2
--- --- ---

cosinus 04.10.2010 08:56
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Attan10 04.10.2010 13:48
GMER:

GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-04 14:12:15
Windows 5.1.2600 Service Pack 2
Running: jwgupu6d.exe; Driver: C:\DOKUME~1\ja\LOKALE~1\Temp\kgkoypog.sys


---- System - GMER 1.0.15 ----

SSDT  F85580DE                                                                                                              ZwCreateKey
SSDT  F85580D4                                                                                                              ZwCreateThread
SSDT  F85580E3                                                                                                              ZwDeleteKey
SSDT  F85580ED                                                                                                              ZwDeleteValueKey
SSDT  F85580F2                                                                                                              ZwLoadKey
SSDT  F85580C0                                                                                                              ZwOpenProcess
SSDT  F85580C5                                                                                                              ZwOpenThread
SSDT  F85580FC                                                                                                              ZwReplaceKey
SSDT  F85580F7                                                                                                              ZwRestoreKey
SSDT  F85580E8                                                                                                              ZwSetValueKey
SSDT  F85580CF                                                                                                              ZwTerminateProcess

---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                  C:\Programme\Alcohol Soft\Alcohol 120\
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x75 0x21 0x15 0xA9 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                           
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                      0x85 0xD8 0xD5 0x29 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                     
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0x31 0xF2 0x52 0xF6 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      0
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x75 0x21 0x15 0xA9 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                          0x85 0xD8 0xD5 0x29 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) 
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x31 0xF2 0x52 0xF6 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      0
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x75 0x21 0x15 0xA9 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                          0x85 0xD8 0xD5 0x29 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) 
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x31 0xF2 0x52 0xF6 ...

---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0                                                                                                sector 09: copy of MBR

---- EOF - GMER 1.0.15 ----
--- --- ---

OSAM :

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:44:25 on 04.10.2010

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.11

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office14\MLCFG32.CPL
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 9\Nero BurnRights\NeroBurnRights_cpl.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v2.3.1.9" (MDC8021X) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\mdc8021x.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Bluetooth-Audiogerät" (btaudio) - "Broadcom Corporation." - C:\WINDOWS\System32\drivers\btaudio.sys
"Bluetooth-Bus-Enumerator" (BTKRNL) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btkrnl.sys
"Bluetooth-LAN-Zugangsserver" (BTWDNDIS) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btwdndis.sys
"btwhid" (btwhid) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btwhid.sys
"catchme" (catchme) - ? - C:\DOKUME~1\ja\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"UB801R USB Wireless LAN Driver" (RT2500USB) - ? - C:\WINDOWS\System32\DRIVERS\rt2500usb.sys  (File not found)
"Virtueller Bluetooth-Kommunikationstreiber" (BTDriver) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btport.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WIDCOMM USB Bluetooth Driver" (BTWUSB) - "Broadcom Corporation." - C:\WINDOWS\System32\Drivers\btwusb.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C9E60ED7-FEAE-477b-B6A6-7D62103A0C6B} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807573E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\btneighborhood.dll
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll
{0875DCB6-C686-4243-9432-ADCCF0B9F2D7} "Microsoft OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office14\MLSHEXT.DLL
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 9\Nero CoverDesigner\CoverEdExtension.dll
{C9E60ED7-FEAE-477b-B6A6-7D62103A0C6B} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{1CA6BBC9-E9FA-4021-822B-075DF1837B63} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{4FBFFA8D-F390-471a-AE46-FEB93623AD63} "NeroDigitalInfoHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{846083A4-BFC6-4447-985C-6578B466A7D7} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{EDCC595A-F0EE-4d81-B554-D5D01C7AFB87} "NeroDigitalThumbnailHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Jackpot City Online Casino" - "Microgaming Systems" - C:\Microgaming\Casino\JackpotCity\casinogame.exe
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Easy Gif Animator Toolbar" - ? - C:\Programme\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll
<binary data> "free-downloads.net Toolbar" - "Conduit Ltd." - C:\Programme\free-downloads.net\tbfre1.dll
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
<binary data> "SweetIM Toolbar for Internet Explorer" - "SweetIM Technologies Ltd." - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{ecdee021-0d17-467f-a1ff-c7a115230949} "free-downloads.net Toolbar" - "Conduit Ltd." - C:\Programme\free-downloads.net\tbfre1.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
{EEE6C35D-6118-11DC-9C72-001320C79847} "SweetIM ToolbarURLSearchHook Class" - "SweetIM Technologies Ltd." - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"Exec" - "Microsoft Corporation" - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
"Messenger" - "Microsoft Corporation" - C:\Programme\Messenger\msmsgs.exe
"PokerStars" - "PokerStars" - C:\Programme\PokerStars\PokerStarsUpdate.exe
{FFFDC614-B694-4AE6-AB38-5D6374584B52} "Verknüpfte &OneNote-Notizen" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{35065594-9169-4A34-B167-FC4865038E53} "Easy Gif Animator Toolbar" - ? - C:\Programme\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll
{ecdee021-0d17-467f-a1ff-c7a115230949} "free-downloads.net Toolbar" - "Conduit Ltd." - C:\Programme\free-downloads.net\tbfre1.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
<binary data> "SweetIM Toolbar for Internet Explorer" - "SweetIM Technologies Ltd." - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{96372AB6-15EB-4316-B497-71C741BC548C} "Easy Gif Animator Toolbar Helper" - ? - C:\Programme\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll
{ecdee021-0d17-467f-a1ff-c7a115230949} "free-downloads.net Toolbar" - "Conduit Ltd." - C:\Programme\free-downloads.net\tbfre1.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{B4F3A835-0E21-4959-BA22-42B3008E02FF} "Office Document Cache Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{EEE6C35C-6118-11DC-9C72-001320C79847} "SweetIM Toolbar Helper" - "SweetIM Technologies Ltd." - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"BTTray.lnk" - "Broadcom Corporation." - C:\Programme\Belkin\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\ja\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"AlcoholAutomount" - "Alcohol Soft Development Team" - "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"SweetIM" - "SweetIM Technologies Ltd." - C:\Programme\SweetIM\Messenger\SweetIM.exe
"WinampAgent" - "Nullsoft, Inc." - C:\Programme\Winamp\winampa.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatische Konfiguration (verkabelt)" (Dot3svc) - "Microsoft Corporation" - C:\WINDOWS\System32\dot3svc.dll
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
"Extensible Authentication-Protokolldienst" (EapHost) - "Microsoft Corporation" - C:\WINDOWS\System32\eapsvc.dll
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"Integritätsschlüssel- und Zertifikatverwaltungsdienst" (hkmsvc) - "Microsoft Corporation" - C:\WINDOWS\System32\kmsvc.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NAP-Agent (Network Access Protection)" (napagent) - "Microsoft Corporation" - C:\WINDOWS\System32\qagentrt.dll
"Nero BackItUp Scheduler 4.0" (Nero BackItUp Scheduler 4.0) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
"Office  Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Office Software Protection Platform" (osppsvc) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
"StarWind AE Service" (StarWindServiceAE) - "Rocket Division Software" - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{B587E2B1-4D59-4e7e-AED9-22B9DF11D053} "802.3 Group Policy" - "Microsoft Corporation" - C:\WINDOWS\system32\dot3gpclnt.dll
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"dimsntfy" - "Microsoft Corporation" - C:\WINDOWS\System32\dimsntfy.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

MBR Check :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 125):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806ED000 \WINDOWS\system32\hal.dll
0xF83A3000 \WINDOWS\system32\KDCOM.DLL
0xF82B3000 \WINDOWS\system32\BOOTVID.dll
0xF7E53000 ACPI.sys
0xF83A5000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7E42000 pci.sys
0xF7EA3000 isapnp.sys
0xF7D29000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF846B000 pciide.sys
0xF8123000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF83A7000 viaide.sys
0xF7EB3000 MountMgr.sys
0xF7D0A000 ftdisk.sys
0xF812B000 PartMgr.sys
0xF7EC3000 VolSnap.sys
0xF7CF2000 atapi.sys
0xF7ED3000 disk.sys
0xF7EE3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7CD3000 fltmgr.sys
0xF7CC1000 sr.sys
0xF7EF3000 PxHelp20.sys
0xF7CAA000 KSecDD.sys
0xF7C1D000 Ntfs.sys
0xF7BF0000 NDIS.sys
0xF7F03000 uagp35.sys
0xF7BD5000 Mup.sys
0xF837F000 \SystemRoot\system32\DRIVERS\tunmp.sys
0xF7380000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF72E5000 \SystemRoot\system32\DRIVERS\vtmini.sys
0xF72D1000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF71CC000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xF81DB000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7370000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7360000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7350000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF71A9000 \SystemRoot\system32\DRIVERS\ks.sys
0xF81E3000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7186000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF81EB000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6DE6000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6DC2000 \SystemRoot\system32\drivers\portcls.sys
0xF7340000 \SystemRoot\system32\drivers\drmk.sys
0xF81F3000 \SystemRoot\system32\DRIVERS\fetnd5.sys
0xF81FB000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF6DB1000 \SystemRoot\system32\DRIVERS\serial.sys
0xF8393000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6D9D000 \SystemRoot\system32\DRIVERS\parport.sys
0xF6CD0000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xF84B6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7330000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF8397000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6CB9000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7320000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7310000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF8203000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6CA8000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7F43000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF820B000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF8213000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7F53000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF821B000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF8223000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF83DB000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6C74000 \SystemRoot\system32\DRIVERS\update.sys
0xF79C2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF5BE3000 \SystemRoot\system32\drivers\btaudio.sys
0xF7F63000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF79A2000 \SystemRoot\system32\drivers\MODEMCSA.sys
0xF7F83000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF83E3000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF83E5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8531000 \SystemRoot\System32\Drivers\Null.SYS
0xF83E7000 \SystemRoot\System32\Drivers\Beep.SYS
0xF823B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF8243000 \SystemRoot\System32\drivers\vga.sys
0xF83E9000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF83EB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF824B000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF8253000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF834B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF5A60000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF5A08000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF59E0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF59A8000 \SystemRoot\system32\DRIVERS\tcpip6.sys
0xF5986000 \SystemRoot\System32\drivers\afd.sys
0xF7FA3000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF825B000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF595A000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF58EB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7FB3000 \SystemRoot\System32\Drivers\Fips.SYS
0xF58CA000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF8263000 \SystemRoot\system32\drivers\ip6fw.sys
0xF7FC3000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF826B000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF5886000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF837B000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7FE3000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF83EF000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF838F000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF79BE000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF8023000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF586E000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF83F5000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF5BBF000 \SystemRoot\System32\drivers\Dxapi.sys
0xF8293000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF85AC000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\vtdisp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF0EFA000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF0F2E000 \SystemRoot\system32\DRIVERS\mdc8021x.sys
0xF0E94000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys
0xF102E000 \SystemRoot\system32\DRIVERS\nwlnknb.sys
0xF0F2A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF0C87000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF0B82000 \SystemRoot\system32\drivers\wdmaud.sys
0xF80E3000 \SystemRoot\system32\drivers\sysaudio.sys
0xF8443000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF076C000 \SystemRoot\system32\DRIVERS\srv.sys
0xF0873000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys
0xF03E3000 \SystemRoot\System32\Drivers\HTTP.sys
0xF00E5000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 36):
0 System Idle Process
4 System
720 C:\WINDOWS\system32\smss.exe
792 csrss.exe
816 C:\WINDOWS\system32\winlogon.exe
860 C:\WINDOWS\system32\services.exe
872 C:\WINDOWS\system32\lsass.exe
1048 C:\WINDOWS\system32\svchost.exe
1116 svchost.exe
1236 C:\WINDOWS\system32\svchost.exe
1312 svchost.exe
1452 svchost.exe
1660 C:\WINDOWS\system32\spoolsv.exe
1708 C:\Programme\Avira\AntiVir Desktop\sched.exe
1792 svchost.exe
2020 C:\WINDOWS\explorer.exe
224 C:\WINDOWS\AGRSMMSG.exe
232 C:\WINDOWS\system32\VTTimer.exe
240 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
272 C:\WINDOWS\soundman.exe
280 C:\Programme\SweetIM\Messenger\SweetIM.exe
288 C:\Programme\Winamp\winampa.exe
352 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
360 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
460 C:\Programme\Belkin\Bluetooth Software\BTTray.exe
480 C:\Programme\Avira\AntiVir Desktop\avguard.exe
496 C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
544 C:\Programme\ICQ6Toolbar\ICQ Service.exe
616 C:\Programme\Java\jre6\bin\jqs.exe
660 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
1064 C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
1260 wdfmgr.exe
2200 alg.exe
3544 C:\WINDOWS\system32\wuauclt.exe
3420 C:\Programme\Mozilla Firefox\firefox.exe
2424 C:\Dokumente und Einstellungen\ja\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST380012A, Rev: 9.01

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

cosinus 04.10.2010 17:47
Zitat:
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Attan10 05.10.2010 11:10
Hallo Arne! Vielen Dank nochmal, dass du dir Zeit nimmst mir zu helfen.:)
Ich habe jetzt Malwarebytes und SuperAntiSpyware durchlaufen lassen.Es wurden noch ein paar Sachen gefunden ! Hier die logs :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4742

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.10.2010 07:21:01
mbam-log-2010-10-05 (07-21-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 228945
Laufzeit: 1 Stunde(n), 52 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe (Adware.Casino) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Microgaming\Casino\JackpotCity\install.exe (Adware.Casino) -> Quarantined and deleted successfully.



SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/05/2010 at 09:28 AM

Application Version : 4.44.1000

Core Rules Database Version : 5631
Trace Rules Database Version: 3443

Scan type : Complete Scan
Total Scan Time : 01:50:54

Memory items scanned : 458
Memory threats detected : 0
Registry items scanned : 6390
Registry threats detected : 0
File items scanned : 94002
File threats detected : 13

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\ja\Cookies\ja@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\ja\Cookies\ja@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\ja\Cookies\ja@atwola[1].txt
C:\Dokumente und Einstellungen\ja\Cookies\ja@doubleclick[1].txt
C:\Dokumente und Einstellungen\ja\Cookies\ja@ak[1].txt
C:\Dokumente und Einstellungen\ja\Cookies\ja@tradedoubler[2].txt

Adware.Casino Games (Golden Palace Casino)
C:\POKER\POKER 770\CASINO.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\POKER 770\POKER 770.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\JA\CASINOPOKR\POKER 770.LNK

Trojan.VXGame-Variant/D
C:\PROGRAMME\STEINBERG\VSTPLUGINS\W.GRABOWSKI\UNWGSMPL.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\JA\STARTMENü\PROGRAMME\W.GRABOWSKI\SAMPLELORD\UNINSTALL.LNK

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{526828F1-D86E-44E6-9EE8-15F9948B3BE0}\RP297\A0065387.EXE

Rogue.Agent/Gen-Nullo[DLL]
C:\WINDOWS\SYSTEM32\ACPROT32X0.DLL

cosinus 05.10.2010 18:25
Sieht ok aus, da wurden nur Cookies gefunden, Casino-Adware-Müll (brauchst Du so ein shice wirklich :balla:) und einige Überreste, wobei ich mir sicher, dass v.a. bei SASW Fehlalarme bei waren.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Attan10 05.10.2010 22:21
Vor ein paar Wochen (als die Meldungen von AntiVir kamen mit dem Trojaner etc.) wurde mein PC immer langsamer.Immer wenn ich seitdem mit MozillaFirefox ins Internet gehe,fängt mein Lüfter an durchzudrehn und wird extrem laut!!!!!!

Ich habe das Gefühl der PC ist jetzt wieder bisschen schneller geworden,aber wenn ich Firefox anmache und paar min. im Internet bin ,wird der Lüfter immernoch extrem laut. (das war früher nicht so!) Woran liegt das?

Noch eine andere Frage:
Ich habe jetzt AviraAntiVir ,SUPERAntiSpyware und Spybot-Search & Destroy auf dem PC installiert und am laufen. Ist das ok ?

Ansonsten in der Zwischenzeit keine weiteren Funde!

DANKE !!!

cosinus 06.10.2010 10:15
Zitat:
Noch eine andere Frage:
Ich habe jetzt AviraAntiVir ,SUPERAntiSpyware und Spybot-Search & Destroy auf dem PC installiert und am laufen. Ist das ok ?
SASW und Spybot kannst Du deinstallieren. Wird nicht benötigt, bringt nichts mehr. SASW braucht ich nur zur Kontrolle.

Und wir sind dann durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Attan10 07.10.2010 11:24
Hallo Arne !
Ich habe gestern abend noch die unnötien Programme deinstalliert und danach sofort die ganzen Updates durchgeführt: Windows,Java,Flashplayer,Firefox,PDF-Reader(ersetzt durch Sumatra).Ich habe auch meine Festplatte defragmentiert, da es vorher nicht ging!
Jetzt muss ich ehrlich sagen, mein PC ist wieder viel schneller geworden !!! :Boogie:
Hatte bisher auch keine weiteren Funde!

Vielen Dank trojaner-board.de und natürlich grossen Dank an Arne !!!!!!!!!!!!!!!! :dankeschoen:


Ohne dich wäre wahrscheinlich irgendwann das passiert :killpc: !!!!!!!

Ich werd demnächst natürlich auch mal beim Trojaner-Board-Spendenkonto vorbeischauen !!!!!!!!!!

Viel Glück und Alles Gute !!! ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131