Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen (https://www.trojaner-board.de/91710-load-programm-installiert-malwarebytes-start-geschlossen.html)

hasco 11.10.2010 13:56
Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Leute
habe euch über Google gefunden und wollte die FAQ Hinweise abarbeiten.

Aber erst mal von Anfang an. Ich habe auf meinem XP Rechner die Virensoftware "ESET NOD32 Antivirus" installiert. Seit einiger Zeit, 12.07.2010, kann sich die Signaturdatenbank nicht mehr aktualisieren.
Da ich im Netzwerk mehrere Rechner habe bin ich erst heute dazu gekommen, mich mal das Problems anzunehmen. Wenn ich auf die Seiten von ESET gehen möchte geht dies nicht. Dann wollte ich "Antivir" installieren, auch ohne erfolg.
Danach googelte ich ein wenig nach NICHTUPDATE VON VIRENPROGRAMMEN und bin auf Euch gestoßen.
Jetzt wollte ich Load.exe installieren jedoch kommt auf meinem Rechner dann die Fehlermeldung, welche ich im Anhang eingefügt habe.
Dann wollte ich das Programm "Malwarebytes" installieren, dies ging so weit auch ganz gut. Wenn ich jetzt das Programm starte wird es nach cirka 5 Secunden wieder geschlossen.
Nun bin ich mit meinem Latein am Ende.

Ich hoffe das Ihr mit meinen Ausführungen etwas anfangen könnt und mir helfen könnt

vielen Dank schon mal im Vorraus

Thomas

cosinus 11.10.2010 20:42
Zitat:
Dann wollte ich das Programm "Malwarebytes" installieren, dies ging so weit auch ganz gut. Wenn ich jetzt das Programm starte wird es nach cirka 5 Secunden wieder geschlossen
Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

hasco 12.10.2010 06:33
Liste der Anhänge anzeigen (Anzahl: 1)
Guten Morgen

vielen Dank für deine Antwort. Leider hatte ich keinen Erfolg. Selbst mit dem Ablaufplan von OTH geht es nicht. Das programm wird nach 5 Sekunden geschlossen. Ich glaube aber gesehen zu haben das er schon irgend etwas "rotes" gefunden hatte.

Habe das Programm gerade noch einmal versucht zu starten. Nach 5 Sekunden macht es zu und 6 gefundene Objekte oder so ähnlich steht in rot da.
Habe jetzt noch mal einen Skreenshot gemacht und angehängt. Vielleicht kannst du ja damit was anfangen.

Mal ne dumme Anfängerfrage: Kann ich das Programm nicht auf einem Stick installieren und von dort aus starten?

vielen Dank schon mal

bis dann

Thomas

cosinus 12.10.2010 11:33
Dann mach erstmal OTL

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

hasco 12.10.2010 12:09
Vielen Dank

endlich mal etwas was auf meinem Rechner läuft. Im Anhang die beiden Logfiles.

Ich hoffe du kannst was damit anfangen. Für mich steht da nur :blabla::blabla:

bis dann Thomas

cosinus 12.10.2010 13:19
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
MOD - C:\WINDOWS\system32\mobswchx.dll ()
MOD - C:\WINDOWS\ehaxodemadavakul.dll ()
O4 - HKLM..\Run: [Yhojufav] C:\WINDOWS\ehaxodemadavakul.DLL ()
O4 - HKCU..\Run: [Rbamox] C:\WINDOWS\mstdfrDE.DLL ()
O4 - HKCU..\Run: [Search Advisor] C:\Programme\Search Advisor\adgui.exe ()
O36 - AppCertDlls: ckcnwwin - (C:\WINDOWS\system32\mobswchx.dll) - C:\WINDOWS\system32\mobswchx.dll ()
[2010.10.11 08:06:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\{BA99A7A7-797B-447A-BCA8-CD0D5B6B0CA3}
[2010.10.11 13:39:59 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Kvecahowilojihum.dat
[2010.09.28 14:32:59 | 000,051,712 | -H-- | M] () -- C:\WINDOWS\System32\mobswchx.dll
[2010.09.28 14:36:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Credogiseyit.bin
[2008.04.14 16:52:32 | 000,206,848 | ---- | C] () -- C:\WINDOWS\ehaxodemadavakul.dll
[2008.04.14 16:52:32 | 000,078,336 | ---- | C] () -- C:\WINDOWS\mstdfrDE.dll
:Files
C:\Programme\Search Advisor
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

hasco 12.10.2010 13:33
Ich habe zwar keine Ahnung was ich hier gerade mache, aber im Anhang die gewünscht Datei.

bis dann

Thomas

hasco 13.10.2010 06:23
Liste der Anhänge anzeigen (Anzahl: 1)
Ich weiß nicht ob es von Bedeutung ist, aber heute morgen hatte ich eine Fehlermeldung auf dem Schirm und da alles interesant sein kann habe ich sie in den Anhang gelegt.

schönen Tag

Thomas

cosinus 13.10.2010 09:45
Kannst Du malwarebytes jetzt starten?

hasco 13.10.2010 11:15
Liste der Anhänge anzeigen (Anzahl: 1)
malwarebytes läst sich Starten geht aber nach 5 bis 6 Sekunden wieder aus. Habe es auch noch mit OTH.scr vorher versucht dann Kill oll .... usw aber keinerlei Veränderung. Das einzige was mir aufgefallen ist, beim Beginn der Suche findet er jetzt nichts mehr was rot angezeigt wird.

Beim Reeboot ist jetzt eine Fehlermeldung neu gekommen, siehe Anhang.

vielen Dank schon mal für deine Bemühungen.

gruß Thomas

cosinus 13.10.2010 12:36
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hasco 13.10.2010 14:16
Hier wie gewünscht die Auswertung von Combofix.
Noch eine Anmerkung: Zwischendurch hat Combofix gasagt: "Combo Fix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neustarten" dies habe ich mit OK bestätigt, ich hoffe das war OK.



Combofix Logfile:
Code:
ComboFix 10-10-12.03 - sw 13.10.2010  14:57:25.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3583.3122 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\sw\Desktop\cofi.exe
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
 * Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\rdpcdd.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-13 bis 2010-10-13  ))))))))))))))))))))))))))))))
.

2010-10-13 12:31 . 2010-10-13 12:31        --------        d-----w-        c:\programme\CCleaner
2010-10-12 12:28 . 2010-10-12 12:28        --------        d-----w-        C:\_OTL
2010-10-11 12:34 . 2010-10-11 12:34        --------        d-----w-        c:\dokumente und einstellungen\sw\Anwendungsdaten\Malwarebytes
2010-10-11 12:32 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 12:32 . 2010-10-11 12:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-11 12:32 . 2010-10-13 10:08        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-10-11 12:32 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-10-07 08:26 . 2010-10-07 08:26        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-04 06:46 . 2010-10-04 06:46        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-09-28 14:10 . 2010-09-28 14:10        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten
2010-09-28 12:47 . 2010-09-28 12:47        --------        d-----w-        c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\ESET
2010-09-20 12:22 . 2010-09-20 12:22        --------        d-----w-        c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-20 12:19 . 2010-09-20 12:19        --------        d-----w-        c:\programme\Altiris
2010-09-20 12:19 . 2010-09-20 12:19        --------        d-----w-        C:\fslrdr
2010-09-20 12:13 . 2010-09-20 12:02        --------        d-----w-        c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Time Watch
2010-09-20 12:13 . 2010-09-20 12:13        --------        d-----w-        c:\programme\Time Watch
2010-09-20 12:10 . 2010-09-20 12:10        --------        d-----w-        c:\dokumente und einstellungen\sw\Anwendungsdaten\WhiteSmokeTranslator
2010-09-20 12:09 . 2010-09-20 12:09        --------        d-----w-        c:\programme\AutocompletePro

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2009-04-28 344064]
"PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2008-04-07 318488]
"SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]
"Time Watch"="c:\programme\Time Watch\TimeWatch4.exe" [2010-01-01 2852352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:07 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:08 95872]
R1 FSLX;FSLX;c:\windows\system32\drivers\fslx.sys [20.02.2009 16:04 195456]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [07.04.2010 21:07 810120]
R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [05.02.2010 14:26 576024]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [05.02.2010 23:04 243856]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [11.10.2010 14:32 38224]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yahoo.de/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=93&bd=all&pf=cmdt
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {D859C064-D82A-4AA9-B25D-010645C32EB2} = 10.50.129.4,10.50.129.157
FF - ProfilePath - c:\dokumente und einstellungen\sw\Anwendungsdaten\Mozilla\Firefox\Profiles\xccjz8f6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.de/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-10-13  15:04:36
ComboFix-quarantined-files.txt  2010-10-13 13:04

Vor Suchlauf: 10 Verzeichnis(se), 477.343.232.000 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 477.319.921.664 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

- - End Of File - - A9C008D789F729B6C8A9E5BCC39D518A
--- --- ---


bis dann

Thomas

cosinus 13.10.2010 16:37
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

hasco 14.10.2010 07:14
Guten Morgen

GMER ist durchgelaufen. Nur beim Download von OSAM bekomme ich einen Verbindungsfehler. Soll ich den MBRCheck trotzdem machen?

Hier aber erst einmal der GMER Log

GMER Logfile:
Code:
GMER 1.0.15.15315 - hxxp://www.gmer.net
Rootkit scan 2010-10-14 07:57:35
Windows 5.1.2600 Service Pack 3
Running: wt6f2i7r.exe; Driver: C:\DOKUME~1\sw\LOKALE~1\Temp\pxtdqpod.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwAssignProcessToJobObject [0xAE26F610]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwClose [0xAE0A5F86]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwCreateKey [0xAE0A5886]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwDebugActiveProcess [0xAE26FC10]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwDeleteKey [0xAE0A6048]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwDeleteValueKey [0xAE0A6298]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwDuplicateObject [0xAE0A6E98]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwEnumerateKey [0xAE0A66B6]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwEnumerateValueKey [0xAE0A6A72]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwFlushKey [0xAE0A6020]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwLoadKey [0xAE0A6D2A]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwOpenKey [0xAE0A54E4]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwOpenProcess [0xAE26F4B0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwOpenThread [0xAE26F570]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwProtectVirtualMemory [0xAE26F6D0]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwQueryKey [0xAE0A67C4]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwQueryValueKey [0xAE0A6BB4]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwRenameKey [0xAE0A6F30]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSetContextThread [0xAE26F690]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSetInformationThread [0xAE26F650]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSetSecurityObject [0xAE26F7D0]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwSetValueKey [0xAE0A64EE]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSuspendProcess [0xAE26F510]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSuspendThread [0xAE26F590]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwTerminateProcess [0xAE26F4D0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwTerminateThread [0xAE26F5D0]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwUnloadKey [0xAE0A6DAA]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwWriteVirtualMemory [0xAE26F750]

Code            \??\C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys                                                    pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                        section is writeable [0xF6C5A000, 0x1CBE76, 0xE8000020]
?              C:\DOKUME~1\sw\LOKALE~1\Temp\mbr.sys                                                            Das System kann die angegebene Datei nicht finden. !
?              C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys                                                        Das System kann die angegebene Datei nicht finden. !
?              C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                      Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ntdll.dll!NtOpenKey                                  7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] kernel32.dll!CreateProcessW                          7C802336 5 Bytes  JMP 10003C34
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] kernel32.dll!ExitProcess                              7C81CB12 5 Bytes  JMP 10003E70
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!connect                                    71A14A07 5 Bytes  JMP 10003AE8
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!send                                      71A14C27 5 Bytes  JMP 1000325C
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!WSARecv                                    71A14CB5 5 Bytes  JMP 100027F0
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!recv                                      71A1676F 5 Bytes  JMP 10002784
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!WSASend                                    71A168FA 5 Bytes  JMP 10003A94
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ntdll.dll!NtOpenKey              7C91D5CE 5 Bytes  JMP 10003DEC
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] kernel32.dll!CreateProcessW      7C802336 5 Bytes  JMP 10003C34
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] kernel32.dll!ExitProcess        7C81CB12 5 Bytes  JMP 10003E70
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!connect              71A14A07 5 Bytes  JMP 10003AE8
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!send                  71A14C27 5 Bytes  JMP 1000325C
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!WSARecv              71A14CB5 5 Bytes  JMP 100027F0
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!recv                  71A1676F 5 Bytes  JMP 10002784
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!WSASend              71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\winlogon.exe[896] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\winlogon.exe[896] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\winlogon.exe[896] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\services.exe[948] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\services.exe[948] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\services.exe[948] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\lsass.exe[960] ntdll.dll!NtOpenKey                                          7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\lsass.exe[960] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\lsass.exe[960] kernel32.dll!ExitProcess                                    7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!connect                                          71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!send                                              71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!WSARecv                                          71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!recv                                              71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!WSASend                                          71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] kernel32.dll!ExitProcess                                7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\svchost.exe[1180] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\svchost.exe[1180] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\svchost.exe[1180] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\System32\svchost.exe[1356] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\System32\svchost.exe[1356] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\System32\svchost.exe[1356] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] kernel32.dll!ExitProcess                                7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\spoolsv.exe[1736] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\spoolsv.exe[1736] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] ntdll.dll!NtOpenKey                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!CreateProcessW              7C802336 5 Bytes  JMP 10003C34
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!ExitProcess                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 4 Bytes  [C2, 04, 00, 00]
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!connect                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!send                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!WSARecv                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!recv                          71A1676F 5 Bytes  JMP 10002784
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!WSASend                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\System32\svchost.exe[2392] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\System32\svchost.exe[2392] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\System32\svchost.exe[2392] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\wuauclt.exe[3124] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\wuauclt.exe[3124] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                          fslx.sys (FSL System Driver/Symantec Corp.)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                          eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                      epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- EOF - GMER 1.0.15 ----
--- --- ---

bis dann

Thomas

cosinus 15.10.2010 11:23
Heir ist ein Ersatzlink für OSAM => File-Upload.net - osam.zip

hasco 18.10.2010 13:38
So nun habe ich alles hinbekommen.
Als erstes das was OSAM sagt:
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:53:19 on 18.10.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"catchme" (catchme) - ? - C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"eamon" (eamon) - "ESET" - C:\WINDOWS\System32\DRIVERS\eamon.sys
"ehdrv" (ehdrv) - "ESET" - C:\WINDOWS\System32\DRIVERS\ehdrv.sys
"epfwtdir" (epfwtdir) - "ESET" - C:\WINDOWS\System32\DRIVERS\epfwtdir.sys
"FSLX" (FSLX) - "Symantec Corp." - C:\WINDOWS\system32\drivers\fslx.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbamswissarmy.sys
"Nal Service " (NAL) - "Intel Corporation " - C:\WINDOWS\system32\Drivers\iqvw32.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B089FE88-FB52-11D3-BDF1-0050DA34150D} "ESET Smart Security - Context Menu Shell Extension" - "ESET" - C:\Programme\ESET\ESET NOD32 Antivirus\shellExt.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@C:\Programme\Messenger\Msgslang.dll,-61144" - "Microsoft Corporation" - C:\Programme\Messenger\msmsgs.exe
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{0FB6A909-6086-458F-BD92-1F8EE10042A0} "AC-Pro" - "SimplyGen" - C:\Programme\AutocompletePro\AutocompletePro.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\sw\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ATIPTA" - "ATI Technologies, Inc." - "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"egui" - "ESET" - "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
"PDF Complete" - "PDF Complete Inc" - C:\Programme\PDF Complete\pdfsty.exe
"SetRefresh" - "Hewlett-Packard Company" - C:\Programme\Compaq\SetRefresh\SetRefresh.exe
"Time Watch" - "7tech Limited" - "C:\Programme\Time Watch\TimeWatch4.exe" hide

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFC" - "PDF Complete, Inc." - C:\WINDOWS\system32\pdfc_port.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ESET HTTP Server" (EhttpSrv) - "ESET" - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
"ESET Service" (ekrn) - "ESET" - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PDF Document Manager" (pdfcDispatcher) - "PDF Complete Inc" - C:\Programme\PDF Complete\pdfsvc.exe
"SQL Server (MSSMLBIZ)" (MSSQL$MSSMLBIZ) - "Microsoft Corporation" - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



und nun noch das von MBRCheck

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000c804c

Kernel Drivers (total 117):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798B000 dmload.sys
0xF7301000 dmio.sys
0xF7707000 PartMgr.sys
0xF74A7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF7210000 iaStor.sys
0xF74B7000 disk.sys
0xF74C7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF71F0000 fltMgr.sys
0xF71DE000 sr.sys
0xF71C7000 KSecDD.sys
0xF713A000 Ntfs.sys
0xF710D000 NDIS.sys
0xF74D7000 ohci1394.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF70F3000 Mup.sys
0xF7557000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6C59000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6C45000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6C1D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF6BDF000 \SystemRoot\system32\DRIVERS\e1y5132.sys
0xF77E7000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6BBB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7817000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7567000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7577000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7847000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7587000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7597000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF75A7000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6B98000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B5C000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF75B7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7973000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B81000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75C7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75D7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7757000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6B70000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF777F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF778F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6B40000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF77D7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79AF000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF70BB000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7607000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E3000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BF000 \SystemRoot\system32\drivers\portcls.sys
0xF7637000 \SystemRoot\system32\drivers\drmk.sys
0xF7647000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79BB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAE2DD000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF79C7000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7BB9000 \SystemRoot\System32\Drivers\Null.SYS
0xF79CB000 \SystemRoot\System32\Drivers\Beep.SYS
0xAE26E000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xF7717000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF772F000 \SystemRoot\System32\drivers\vga.sys
0xF79DD000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79E1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF773F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF774F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF797F000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF7767000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xAE23B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE1E2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE1BA000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAE194000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE17C000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xF7517000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE15A000 \SystemRoot\System32\drivers\afd.sys
0xF7527000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAE12F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAE0BF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAE08F000 \??\C:\WINDOWS\system32\drivers\fslx.sys
0xF6B08000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6AF8000 \SystemRoot\System32\Drivers\Fips.SYS
0xF77FF000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xAE28D000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF6AC8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF795B000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xADEC6000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6B24000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7827000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B9B000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF068000 \SystemRoot\System32\ati2cqag.dll
0xBF102000 \SystemRoot\System32\atikvmag.dll
0xBF187000 \SystemRoot\System32\atiok3x2.dll
0xBF1D6000 \SystemRoot\System32\ati3duag.dll
0xBF4B2000 \SystemRoot\System32\ativvaxx.dll
0xABAB3000 \SystemRoot\system32\DRIVERS\eamon.sys
0xABB95000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAB82E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAB75E000 \SystemRoot\system32\DRIVERS\srv.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xAB519000 \SystemRoot\system32\drivers\wdmaud.sys
0xAB89B000 \SystemRoot\system32\drivers\sysaudio.sys
0xAAEE8000 \SystemRoot\System32\Drivers\HTTP.sys
0xF786F000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xAAD8B000 \SystemRoot\System32\Drivers\RDPWD.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 33):
0 System Idle Process
4 System
788 C:\WINDOWS\system32\smss.exe
844 csrss.exe
892 C:\WINDOWS\system32\winlogon.exe
944 C:\WINDOWS\system32\services.exe
956 C:\WINDOWS\system32\lsass.exe
1152 C:\WINDOWS\system32\ati2evxx.exe
1176 C:\WINDOWS\system32\svchost.exe
1264 svchost.exe
1452 svchost.exe
1484 C:\WINDOWS\system32\ati2evxx.exe
1592 svchost.exe
1728 C:\WINDOWS\system32\spoolsv.exe
1812 svchost.exe
1884 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
1952 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
2004 sqlservr.exe
228 C:\Programme\PDF Complete\pdfsvc.exe
532 C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
668 C:\WINDOWS\system32\wuauclt.exe
1768 C:\WINDOWS\explorer.exe
2196 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
2308 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
2560 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
2768 C:\Programme\Time Watch\TimeWatch4.exe
2784 alg.exe
2836 C:\WINDOWS\system32\ctfmon.exe
3632 C:\WINDOWS\system32\svchost.exe
3972 C:\WINDOWS\system32\svchost.exe
3060 C:\Programme\Mozilla Firefox\firefox.exe
3540 C:\Programme\Mozilla Firefox\plugin-container.exe
1624 C:\Dokumente und Einstellungen\sw\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: ST3500418AS, Rev: HP34

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: DAEDABC469722639540215CE84E15ED084195FBC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!


ich hoffe das ist das Richtige.

bis dann Thomas

cosinus 18.10.2010 15:25
Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei
  • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
  • Enter your choice: 2
  • Enter the physical disk number to fix (0-99, -1 to cancel): 0
  • Please select the MBR code to write to this drive: 1 (für XP)
  • Gib nun Yes ein und bestätige mit ENTER.
  • Starte den Rechner neu auf.
Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

hasco 19.10.2010 07:18
Ich hoffe das ich alles richtig gemacht habe. Nach dem zweiten mal bin ich mit "n" und enter raus gegeangen.
Hier nun die beiden txt Dateien.
Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000c804c

Kernel Drivers (total 119):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798B000 dmload.sys
0xF7301000 dmio.sys
0xF7707000 PartMgr.sys
0xF74A7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF7210000 iaStor.sys
0xF74B7000 disk.sys
0xF74C7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF71F0000 fltMgr.sys
0xF71DE000 sr.sys
0xF71C7000 KSecDD.sys
0xF713A000 Ntfs.sys
0xF710D000 NDIS.sys
0xF74D7000 ohci1394.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF70F3000 Mup.sys
0xF7557000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6C59000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6C45000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6C1D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF6BDF000 \SystemRoot\system32\DRIVERS\e1y5132.sys
0xF77E7000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6BBB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7817000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7567000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7577000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7847000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7587000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7597000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF75A7000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6B98000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B5C000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF75B7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7973000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B81000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75C7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75D7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7757000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6B70000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF777F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF778F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6B40000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF77D7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79AF000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF70BB000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7607000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E3000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BF000 \SystemRoot\system32\drivers\portcls.sys
0xF7637000 \SystemRoot\system32\drivers\drmk.sys
0xF7647000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79BB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAE2DD000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF79C7000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7BB9000 \SystemRoot\System32\Drivers\Null.SYS
0xF79CB000 \SystemRoot\System32\Drivers\Beep.SYS
0xAE26E000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xF7717000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF772F000 \SystemRoot\System32\drivers\vga.sys
0xF79DD000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79E1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF773F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF774F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF797F000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF7767000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xAE23B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE1E2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE1BA000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAE194000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE17C000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xF7517000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE15A000 \SystemRoot\System32\drivers\afd.sys
0xF7527000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAE12F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAE0BF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAE08F000 \??\C:\WINDOWS\system32\drivers\fslx.sys
0xF6B08000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6AF8000 \SystemRoot\System32\Drivers\Fips.SYS
0xF77FF000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xAE28D000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF6AC8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF795B000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xADEC6000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6B24000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7827000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B9B000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF068000 \SystemRoot\System32\ati2cqag.dll
0xBF102000 \SystemRoot\System32\atikvmag.dll
0xBF187000 \SystemRoot\System32\atiok3x2.dll
0xBF1D6000 \SystemRoot\System32\ati3duag.dll
0xBF4B2000 \SystemRoot\System32\ativvaxx.dll
0xABAB3000 \SystemRoot\system32\DRIVERS\eamon.sys
0xABB95000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAB82E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAB75E000 \SystemRoot\system32\DRIVERS\srv.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xAB519000 \SystemRoot\system32\drivers\wdmaud.sys
0xAB89B000 \SystemRoot\system32\drivers\sysaudio.sys
0xAAEE8000 \SystemRoot\System32\Drivers\HTTP.sys
0xF786F000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xAAD8B000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xADFAB000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xAA0D4000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 28):
0 System Idle Process
4 System
788 C:\WINDOWS\system32\smss.exe
844 csrss.exe
892 C:\WINDOWS\system32\winlogon.exe
944 C:\WINDOWS\system32\services.exe
956 C:\WINDOWS\system32\lsass.exe
1152 C:\WINDOWS\system32\ati2evxx.exe
1176 C:\WINDOWS\system32\svchost.exe
1264 svchost.exe
1452 svchost.exe
1484 C:\WINDOWS\system32\ati2evxx.exe
1592 svchost.exe
1728 C:\WINDOWS\system32\spoolsv.exe
1812 svchost.exe
1952 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
2004 sqlservr.exe
228 C:\Programme\PDF Complete\pdfsvc.exe
532 C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
1768 C:\WINDOWS\explorer.exe
2196 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
2560 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
2768 C:\Programme\Time Watch\TimeWatch4.exe
2784 alg.exe
2836 C:\WINDOWS\system32\ctfmon.exe
3632 C:\WINDOWS\system32\svchost.exe
3972 C:\WINDOWS\system32\svchost.exe
3340 C:\Dokumente und Einstellungen\sw\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: ST3500418AS, Rev: HP34

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: DAEDABC469722639540215CE84E15ED084195FBC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!
Und hier die Zweite



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000c804c

Kernel Drivers (total 118):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798B000 dmload.sys
0xF7301000 dmio.sys
0xF7707000 PartMgr.sys
0xF74A7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF7210000 iaStor.sys
0xF74B7000 disk.sys
0xF74C7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF71F0000 fltMgr.sys
0xF71DE000 sr.sys
0xF71C7000 KSecDD.sys
0xF713A000 Ntfs.sys
0xF710D000 NDIS.sys
0xF74D7000 ohci1394.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF70F3000 Mup.sys
0xF7557000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6C59000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6C45000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6C1D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF6BDF000 \SystemRoot\system32\DRIVERS\e1y5132.sys
0xF77DF000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6BBB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF780F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7567000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7577000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF783F000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7587000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7597000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF75A7000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6B98000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B46000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF75B7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF796B000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B81000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75C7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75D7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF774F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6B70000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7777000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7787000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6B40000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF77CF000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79AD000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF70C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7607000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E3000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BF000 \SystemRoot\system32\drivers\portcls.sys
0xF7637000 \SystemRoot\system32\drivers\drmk.sys
0xF7647000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79B9000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAE2DD000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF79C5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7BA2000 \SystemRoot\System32\Drivers\Null.SYS
0xF79C9000 \SystemRoot\System32\Drivers\Beep.SYS
0xAE26E000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xF788F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7727000 \SystemRoot\System32\drivers\vga.sys
0xF79DB000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79DF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7737000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7747000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7977000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE23B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE1E2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE1BA000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAE194000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE17C000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xF7517000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE15A000 \SystemRoot\System32\drivers\afd.sys
0xF7527000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF777F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xAE12F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAE0BF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAE08F000 \??\C:\WINDOWS\system32\drivers\fslx.sys
0xF6B08000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6AF8000 \SystemRoot\System32\Drivers\Fips.SYS
0xF7837000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7953000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF6AB8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF795F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xADEC6000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xAE07F000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7827000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B54000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF068000 \SystemRoot\System32\ati2cqag.dll
0xBF102000 \SystemRoot\System32\atikvmag.dll
0xBF187000 \SystemRoot\System32\atiok3x2.dll
0xBF1D6000 \SystemRoot\System32\ati3duag.dll
0xBF4B2000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xABA8B000 \SystemRoot\system32\DRIVERS\eamon.sys
0xABA7B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAB82E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAB75E000 \SystemRoot\system32\DRIVERS\srv.sys
0xAB519000 \SystemRoot\system32\drivers\wdmaud.sys
0xAB716000 \SystemRoot\system32\drivers\sysaudio.sys
0xAB4CB000 \SystemRoot\system32\drivers\kmixer.sys
0xAAFB0000 \SystemRoot\System32\Drivers\HTTP.sys
0xF785F000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xAAE4D000 \SystemRoot\System32\Drivers\RDPWD.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 31):
0 System Idle Process
4 System
788 C:\WINDOWS\system32\smss.exe
848 csrss.exe
896 C:\WINDOWS\system32\winlogon.exe
948 C:\WINDOWS\system32\services.exe
960 C:\WINDOWS\system32\lsass.exe
1156 C:\WINDOWS\system32\ati2evxx.exe
1180 C:\WINDOWS\system32\svchost.exe
1268 svchost.exe
1456 svchost.exe
1496 C:\WINDOWS\system32\ati2evxx.exe
1608 svchost.exe
1732 C:\WINDOWS\system32\spoolsv.exe
1812 svchost.exe
1884 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
1984 sqlservr.exe
220 C:\Programme\PDF Complete\pdfsvc.exe
276 C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
604 C:\WINDOWS\system32\wuauclt.exe
1576 C:\WINDOWS\explorer.exe
816 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
2288 alg.exe
2304 C:\WINDOWS\system32\userinit.exe
2500 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
2628 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
2664 C:\Programme\Time Watch\TimeWatch4.exe
2704 C:\WINDOWS\system32\ctfmon.exe
3204 C:\WINDOWS\system32\svchost.exe
3468 C:\WINDOWS\system32\svchost.exe
3848 C:\Dokumente und Einstellungen\sw\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: ST3500418AS, Rev: HP34

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: DAEDABC469722639540215CE84E15ED084195FBC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!




bis dann Thomas

cosinus 19.10.2010 09:21
Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

hasco 19.10.2010 09:36
Das habe ich nicht ganz verstanden.
Wenn ich beim Hochfahren des Rechners "ESC" drücke komme ich in das Bootmenü. Dort stehen drei Einträge zur Auswahl:
- ST3500418AS
- hp DDVDW TS-H653R
- IBA GE Slot 00C8 v1322

welchen soll ich davon auswählen?

Und noch eine Frage: Ist mit Bootkit Remover die MBRCheck.exe gemeint.

Entschuldigung für die dummen Fragen

bis dann Thomas

cosinus 19.10.2010 10:22
Ich meinte das Bootmenü von Windows. Du kannst da die Wiederherstellungskonsole oder Windows normal auswählen.

Zitat:
Und noch eine Frage: Ist mit Bootkit Remover die MBRCheck.exe gemeint.
ja, hatte mich verschrieben.

hasco 19.10.2010 11:56
So habe es jetzt hinbekommen. Möchte mich zwischendurch mal für meine ständigen blöden Fragen entschuldigen und vor allem mich für deine Hilfe bedanken.

Hier nun der gewünschte Log

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000c804c

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798B000 dmload.sys
0xF7301000 dmio.sys
0xF7707000 PartMgr.sys
0xF74A7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF7210000 iaStor.sys
0xF74B7000 disk.sys
0xF74C7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF71F0000 fltMgr.sys
0xF71DE000 sr.sys
0xF71C7000 KSecDD.sys
0xF713A000 Ntfs.sys
0xF710D000 NDIS.sys
0xF74D7000 ohci1394.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF70F3000 Mup.sys
0xF7557000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6C59000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6C45000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6C1D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF6BDF000 \SystemRoot\system32\DRIVERS\e1y5132.sys
0xF77DF000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6BBB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF780F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7567000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7577000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF783F000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7587000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7597000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF75A7000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6B98000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B46000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF75B7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF796B000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B81000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75C7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75D7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF774F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6B70000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7777000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7787000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6B40000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF77CF000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79AD000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF70C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7607000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E3000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BF000 \SystemRoot\system32\drivers\portcls.sys
0xF7637000 \SystemRoot\system32\drivers\drmk.sys
0xF7647000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79B9000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAE2DD000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF79C5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7BA2000 \SystemRoot\System32\Drivers\Null.SYS
0xF79C9000 \SystemRoot\System32\Drivers\Beep.SYS
0xAE26E000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xF788F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7727000 \SystemRoot\System32\drivers\vga.sys
0xF79DB000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79DF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7737000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7747000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7977000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE23B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE1E2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE1BA000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAE194000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE17C000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xF7517000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE15A000 \SystemRoot\System32\drivers\afd.sys
0xF7527000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAE12F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAE0BF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAE08F000 \??\C:\WINDOWS\system32\drivers\fslx.sys
0xF6B08000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6AF8000 \SystemRoot\System32\Drivers\Fips.SYS
0xF77F7000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF7857000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7953000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF6AC8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF795F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xADEC6000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xAE07B000 \SystemRoot\System32\drivers\Dxapi.sys
0xF77FF000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B3C000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF068000 \SystemRoot\System32\ati2cqag.dll
0xBF102000 \SystemRoot\System32\atikvmag.dll
0xBF187000 \SystemRoot\System32\atiok3x2.dll
0xBF1D6000 \SystemRoot\System32\ati3duag.dll
0xBF4B2000 \SystemRoot\System32\ativvaxx.dll
0xABA8B000 \SystemRoot\system32\DRIVERS\eamon.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xABA77000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAB806000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAB75E000 \SystemRoot\system32\DRIVERS\srv.sys
0xAB401000 \SystemRoot\system32\drivers\wdmaud.sys
0xAB47E000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7A3B000 \SystemRoot\system32\drivers\splitter.sys
0xAB3DE000 \SystemRoot\system32\drivers\aec.sys
0xAB43E000 \SystemRoot\system32\drivers\swmidi.sys
0xAB696000 \SystemRoot\system32\drivers\DMusic.sys
0xAB3B3000 \SystemRoot\system32\drivers\kmixer.sys
0xF7B03000 \SystemRoot\system32\drivers\drmkaud.sys
0xF773F000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xAAFCE000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xAAEED000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 32):
0 System Idle Process
4 System
788 C:\WINDOWS\system32\smss.exe
852 csrss.exe
900 C:\WINDOWS\system32\winlogon.exe
952 C:\WINDOWS\system32\services.exe
964 C:\WINDOWS\system32\lsass.exe
1160 C:\WINDOWS\system32\ati2evxx.exe
1184 C:\WINDOWS\system32\svchost.exe
1272 svchost.exe
1460 svchost.exe
1548 C:\WINDOWS\system32\ati2evxx.exe
1588 svchost.exe
1716 C:\WINDOWS\system32\spoolsv.exe
1820 svchost.exe
1892 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
1992 sqlservr.exe
228 C:\Programme\PDF Complete\pdfsvc.exe
284 C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
612 C:\WINDOWS\system32\wuauclt.exe
1684 alg.exe
2004 C:\WINDOWS\system32\userinit.exe
1448 C:\WINDOWS\explorer.exe
2724 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
2960 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
2968 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
3040 C:\Programme\Time Watch\TimeWatch4.exe
3108 C:\WINDOWS\system32\ctfmon.exe
3816 C:\WINDOWS\system32\userinit.exe
3980 C:\WINDOWS\system32\svchost.exe
272 C:\WINDOWS\system32\svchost.exe
2068 C:\Dokumente und Einstellungen\sw\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive0 Model Number: ST3500418AS, Rev: HP34

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!



bis dann Thomas

cosinus 19.10.2010 12:20
Zitat:
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hasco 19.10.2010 14:29
Liste der Anhänge anzeigen (Anzahl: 1)
Die Malwarebytes schließt sich immernoch nach 5 Sekunden.
Die SuperAntiSpyware habe ich durchlaufen lassen. Hier das Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/19/2010 at 03:19 PM

Application Version : 4.44.1000

Core Rules Database Version : 5708
Trace Rules Database Version: 3520

Scan type : Complete Scan
Total Scan Time : 00:39:01

Memory items scanned : 369
Memory threats detected : 0
Registry items scanned : 10704
Registry threats detected : 0
File items scanned : 75815
File threats detected : 3

Trojan.Agent/Gen-Koobface[Bonkers]
C:\PROGRAMME\SCHLEUPEN\STEUERN\TRANSFERSERVEREST.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\SCHLEUPEN-SOFTWARE\TRANSFER-SERVER.LNK

Trojan.Agent/Gen-FakeAlert
P:\T_WAHL\USB\USB\LSS\LSSP\SCCLIP.EXE


Als die mit dem Scan fertig war war das Bild im Anhang zu sehen. Da habe ich auf weiter geklickt. Ich hoffe das war richtig. Er hat die beiden angezeigten Teile unter Quarantäne gestellt oder so.

bis dann Thomas

cosinus 19.10.2010 15:35
Hast Du malwarebytes mal so gestartet => http://www.trojaner-board.de/82699-m...tet-nicht.html

hasco 20.10.2010 07:15
Guten Morgen.

Leider kein Erfolg. Weder mit umbenennen in *.com noch mit dem OTH. Programm wird immer nach 5 Sekunden abgebrochen.

bis dann Thomas

cosinus 20.10.2010 11:30
Hm das kann doch nicht sein :wtf:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

hasco 20.10.2010 12:15
Hier das Ergebniss von OTLOTL Logfile:
Code:
OTL logfile created on: 20.10.2010 13:10:20 - Run 2
OTL by OldTimer - Version 3.2.15.1    Folder = C:\Dokumente und Einstellungen\sw\Desktop\Neuer Ordner
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 87,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,76 Gb Total Space | 443,41 Gb Free Space | 95,20% Space Free | Partition Type: NTFS
Drive G: | 107,40 Gb Total Space | 96,36 Gb Free Space | 89,73% Space Free | Partition Type: NTFS
Drive P: | 107,40 Gb Total Space | 93,77 Gb Free Space | 87,32% Space Free | Partition Type: NTFS
Drive S: | 107,40 Gb Total Space | 96,36 Gb Free Space | 89,73% Space Free | Partition Type: NTFS
Drive T: | 107,40 Gb Total Space | 96,36 Gb Free Space | 89,73% Space Free | Partition Type: NTFS
 
Computer Name: WAHL50 | User Name: sw | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 90 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\sw\Desktop\Neuer Ordner\OTL.exe (OldTimer Tools)
PRC - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe (ESET)
PRC - C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe (ESET)
PRC - C:\Programme\Time Watch\TimeWatch4.exe (7tech Limited)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\PDF Complete\pdfsvc.exe (PDF Complete Inc)
PRC - c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\sw\Desktop\Neuer Ordner\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (EhttpSrv) -- C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (ESET)
SRV - (ekrn) -- C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe (ESET)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (pdfcDispatcher) -- C:\Programme\PDF Complete\pdfsvc.exe (PDF Complete Inc)
SRV - (SQLWriter) -- c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
SRV - (MSSQL$MSSMLBIZ) SQL Server (MSSMLBIZ) -- c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (SQLBrowser) -- c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (MSSQLServerADHelper) -- c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (catchme) -- C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys File not found
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (epfwtdir) -- C:\WINDOWS\system32\drivers\epfwtdir.sys (ESET)
DRV - (ehdrv) -- C:\WINDOWS\system32\drivers\ehdrv.sys (ESET)
DRV - (eamon) -- C:\WINDOWS\system32\drivers\eamon.sys (ESET)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)
DRV - (FSLX) -- C:\WINDOWS\system32\drivers\fslx.sys (Symantec Corp.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (iaStor) -- C:\WINDOWS\System32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (e1yexpress) Intel(R) -- C:\WINDOWS\system32\drivers\e1y5132.sys (Intel Corporation)
DRV - (NAL) -- C:\WINDOWS\system32\drivers\iqvw32.sys (Intel Corporation )
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (iAimFP4) -- C:\WINDOWS\system32\drivers\wVchNTxx.sys (Intel(R) Corporation)
DRV - (iAimFP3) -- C:\WINDOWS\system32\drivers\wSiINTxx.sys (Intel(R) Corporation)
DRV - (iAimTV3) -- C:\WINDOWS\system32\drivers\wATV04nt.sys (Intel(R) Corporation)
DRV - (iAimTV0) -- C:\WINDOWS\system32\drivers\wATV01nt.sys (Intel(R) Corporation)
DRV - (iAimTV5) -- C:\WINDOWS\system32\drivers\wATV10nt.sys (Intel(R) Corporation)
DRV - (iAimTV4) -- C:\WINDOWS\system32\drivers\wCh7xxNT.sys (Intel(R) Corporation)
DRV - (iAimTV6) -- C:\WINDOWS\system32\drivers\wATV06nt.sys (Intel(R) Corporation)
DRV - (iAimTV1) -- C:\WINDOWS\system32\drivers\wATV02NT.sys (Intel(R) Corporation)
DRV - (i81x) -- C:\WINDOWS\system32\drivers\i81xnt5.sys (Intel(R) Corporation)
DRV - (iAimFP0) -- C:\WINDOWS\system32\drivers\wADV01nt.sys (Intel(R) Corporation)
DRV - (iAimFP1) -- C:\WINDOWS\system32\drivers\wADV02NT.sys (Intel(R) Corporation)
DRV - (iAimFP7) -- C:\WINDOWS\system32\drivers\wADV09NT.sys (Intel(R) Corporation)
DRV - (iAimFP5) -- C:\WINDOWS\system32\drivers\wADV07nt.sys (Intel(R) Corporation)
DRV - (iAimFP2) -- C:\WINDOWS\system32\drivers\wADV05NT.sys (Intel(R) Corporation)
DRV - (iAimFP6) -- C:\WINDOWS\system32\drivers\wADV08NT.sys (Intel(R) Corporation)
DRV - (adpu320) -- C:\WINDOWS\system32\DRIVERS\adpu320.sys (Adaptec, Inc.)
DRV - (Symmpi) -- C:\WINDOWS\system32\DRIVERS\symmpi.sys (LSI Logic)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=93&bd=all&pf=cmdt
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yahoo.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.yahoo.de/"
FF - prefs.js..extensions.enabledItems: support@predictad.com:1.11
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\software\mozilla\Firefox\Extensions\\support@predictad.com: C:\Programme\AutocompletePro\support@predictad.com [2010.09.20 14:09:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{BA99A7A7-797B-447A-BCA8-CD0D5B6B0CA3}: C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\{BA99A7A7-797B-447A-BCA8-CD0D5B6B0CA3}
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.20 14:22:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.20 14:22:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2010.09.20 15:26:08 | 000,000,000 | ---D | M]
 
[2010.06.07 12:42:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Mozilla\Extensions
[2010.10.19 15:26:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Mozilla\Firefox\Profiles\xccjz8f6.default\extensions
[2010.09.20 14:25:39 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Mozilla\Firefox\Profiles\xccjz8f6.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.20 14:22:32 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.09.14 23:32:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.14 23:32:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.14 23:32:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.14 23:32:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.14 23:32:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.10.12 14:28:02 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll (SimplyGen)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [egui] C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe (ESET)
O4 - HKLM..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [Time Watch] C:\Programme\Time Watch\TimeWatch4.exe (7tech Limited)
O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = stb-wahl.dom
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - Windows Messenger 5.1
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (71789729812578304)
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.10.19 14:34:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\SUPERAntiSpyware.com
[2010.10.19 14:34:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.10.19 14:34:50 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.10.19 14:34:32 | 009,578,056 | ---- | C] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\sw\Desktop\SUPERAntiSpyware.exe
[2010.10.18 14:44:08 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.10.18 14:43:22 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.10.18 14:34:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\TuneUp Software
[2010.10.18 14:34:57 | 000,000,000 | ---D | C] -- C:\Programme\TuneUp Utilities 2010
[2010.10.18 14:34:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.10.18 14:33:46 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.10.13 15:04:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.10.13 14:45:15 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.10.13 14:42:22 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.10.13 14:42:22 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.10.13 14:42:22 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.10.13 14:42:22 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.10.13 14:42:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.10.13 14:42:04 | 000,000,000 | ---D | C] -- C:\cofi
[2010.10.13 14:40:55 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.10.13 14:34:41 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\sw\Recent
[2010.10.13 14:31:25 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.10.13 05:57:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2010.10.12 14:28:01 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.10.12 13:05:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Desktop\Neuer Ordner
[2010.10.11 14:34:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Malwarebytes
[2010.10.11 14:32:59 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.11 14:32:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.11 14:32:57 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.11 14:32:57 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.11 14:32:33 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\sw\Desktop\mbam-setup.exe
[2010.10.07 10:26:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.10.07 10:26:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun
[2010.10.04 08:59:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2010.10.04 08:55:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.09.28 16:11:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.09.28 15:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.09.28 14:47:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.09.20 15:49:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Eigene Dateien\Downloads
[2010.09.20 14:22:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.09.20 14:22:31 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2010.09.20 14:19:45 | 000,000,000 | ---D | C] -- C:\fslrdr
[2010.09.20 14:19:45 | 000,000,000 | ---D | C] -- C:\Programme\Altiris
[2010.09.20 14:13:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Time Watch
[2010.09.20 14:13:44 | 000,000,000 | ---D | C] -- C:\Programme\Time Watch
[2010.09.20 14:10:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\WhiteSmokeTranslator
[2010.09.20 14:09:44 | 000,000,000 | ---D | C] -- C:\Programme\AutocompletePro
[2010.02.17 10:49:02 | 000,018,944 | ---- | C] ( ) -- C:\WINDOWS\System32\implode.dll
 
========== Files - Modified Within 90 Days ==========
 
[2010.10.20 08:13:04 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.20 08:12:39 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.20 08:12:36 | 000,167,952 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2010.10.20 08:12:33 | 3757,228,032 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.19 15:21:39 | 000,002,503 | ---- | M] () -- C:\Dokumente und Einstellungen\sw\Desktop\Microsoft Office Word 2007.lnk
[2010.10.19 14:34:18 | 009,578,056 | ---- | M] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\sw\Desktop\SUPERAntiSpyware.exe
[2010.10.19 12:43:18 | 000,000,328 | RHS- | M] () -- C:\boot.ini
[2010.10.19 10:11:44 | 000,000,436 | ---- | M] () -- C:\WINDOWS\wiso.ini
[2010.10.18 14:54:05 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\sw\Desktop\MBRCheck.exe
[2010.10.18 14:50:43 | 000,275,760 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.18 14:48:08 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.10.18 14:47:07 | 000,520,018 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.18 14:47:07 | 000,491,258 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.18 14:47:07 | 000,109,446 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.18 14:47:07 | 000,089,948 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.13 11:12:43 | 000,000,464 | ---- | M] () -- C:\WINDOWS\LssT.ini
[2010.10.13 08:13:41 | 000,000,545 | ---- | M] () -- C:\WINDOWS\scwinfo.ini
[2010.10.13 07:16:09 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.10.12 15:12:54 | 000,002,505 | ---- | M] () -- C:\Dokumente und Einstellungen\sw\Desktop\Microsoft Office Excel 2007.lnk
[2010.10.12 14:28:02 | 000,000,098 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\Hosts
[2010.10.12 08:22:21 | 000,000,289 | ---- | M] () -- C:\Dokumente und Einstellungen\sw\config.dat
[2010.10.11 14:32:20 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\sw\Desktop\mbam-setup.exe
[2010.09.20 14:22:38 | 000,000,000 | ---- | M] () -- C:\WINDOWS\nsreg.dat
[2010.09.20 14:22:34 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.08.24 08:11:12 | 000,000,008 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
 
========== Files Created - No Company Name ==========
 
[2010.10.18 14:54:18 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\sw\Desktop\MBRCheck.exe
[2010.10.18 14:44:38 | 000,001,393 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2010.10.13 14:45:19 | 000,000,212 | ---- | C] () -- C:\Boot.bak
[2010.10.13 14:45:17 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2010.10.13 14:42:22 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.10.13 14:42:22 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.10.13 14:42:22 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.10.13 14:42:22 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.10.13 14:42:22 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.10.04 08:32:21 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.09.20 14:22:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.09.20 14:22:34 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.09.20 14:20:00 | 000,000,289 | ---- | C] () -- C:\Dokumente und Einstellungen\sw\config.dat
[2010.09.20 14:19:43 | 000,000,421 | ---- | C] () -- C:\WINDOWS\System32\McOEMAppRules.dat
[2010.02.22 11:58:18 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.22 10:28:11 | 000,000,076 | ---- | C] () -- C:\WINDOWS\System32\KSINST.INI
[2010.02.22 09:28:54 | 000,000,436 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2010.02.17 18:32:06 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\SCARCOUW.dll
[2010.02.17 11:38:44 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.02.17 11:38:44 | 000,000,051 | ---- | C] () -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\setup.txt
[2010.02.17 11:32:29 | 000,000,395 | ---- | C] () -- C:\WINDOWS\SRP.INI
[2010.02.17 11:30:59 | 000,221,245 | ---- | C] () -- C:\WINDOWS\System32\Hilfeaufruf.dll
[2010.02.17 11:30:59 | 000,145,920 | ---- | C] () -- C:\WINDOWS\System32\WacHash.dll
[2010.02.17 11:30:59 | 000,137,728 | ---- | C] () -- C:\WINDOWS\System32\SbDecLsb.dll
[2010.02.17 11:30:59 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\W32mkrc.dll
[2010.02.17 11:30:59 | 000,058,368 | ---- | C] () -- C:\WINDOWS\System32\VCF15DE.dll
[2010.02.17 11:30:59 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\srpsystools.dll
[2010.02.17 11:30:58 | 000,062,464 | ---- | C] () -- C:\WINDOWS\System32\Mod32.dll
[2010.02.17 10:49:03 | 000,000,043 | ---- | C] () -- C:\WINDOWS\schleupe.ini
[2010.02.17 10:49:02 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\u25store.dll
[2010.02.17 10:49:02 | 000,059,904 | ---- | C] () -- C:\WINDOWS\System32\u25total.dll
[2010.02.17 10:49:02 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\u25dts.dll
[2010.02.17 10:49:02 | 000,038,400 | ---- | C] () -- C:\WINDOWS\System32\u2ldts.dll
[2010.02.17 10:49:02 | 000,016,183 | ---- | C] () -- C:\WINDOWS\System32\Self32.ini
[2010.02.17 10:47:42 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\ftp4w32.dll
[2010.02.17 10:47:42 | 000,000,545 | ---- | C] () -- C:\WINDOWS\scwinfo.ini
[2010.02.17 10:41:58 | 000,000,464 | ---- | C] () -- C:\WINDOWS\LssT.ini
[2010.02.05 22:55:00 | 000,000,978 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2010.02.05 14:27:56 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.04.05 19:59:10 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
 
========== LOP Check ==========
 
[2010.02.22 09:14:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2010.05.19 08:55:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2010.09.16 08:34:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FDCheckStart
[2010.09.16 08:34:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FormularDepot
[2010.02.22 11:08:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KSBACKUP
[2010.10.18 14:44:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.02.05 14:26:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2010.10.18 14:33:46 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.05.28 07:50:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Buhl Data Service
[2010.10.18 14:34:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\TuneUp Software
[2010.09.20 14:10:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\WhiteSmokeTranslator
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2010.05.31 11:13:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Adobe
[2010.05.28 07:50:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Buhl Data Service
[2010.03.30 08:54:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Help
[2010.02.05 23:04:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Identities
[2010.02.22 09:14:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\InstallShield
[2010.05.31 11:13:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Macromedia
[2010.10.11 14:34:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Malwarebytes
[2010.07.14 07:29:07 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Microsoft
[2010.08.17 13:51:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Mozilla
[2010.02.05 14:17:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\Sun
[2010.10.19 14:34:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\SUPERAntiSpyware.com
[2010.10.18 14:34:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\TuneUp Software
[2010.09.20 14:10:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\sw\Anwendungsdaten\WhiteSmokeTranslator
 
< %APPDATA%\*.exe /s >
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\i386\sp3.cab:AGP440.sys
[2008.04.14 08:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\i386\sp3.cab:atapi.sys
[2008.04.14 08:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 09:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ERDNT\cache\atapi.sys
[2008.04.14 09:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 16:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ERDNT\cache\eventlog.dll
[2008.04.14 16:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: IASTOR.SYS  >
[2008.08.13 18:08:44 | 000,325,144 | ---- | M] (Intel Corporation) MD5=42BE6406094936A23280D68D9AEC33D0 -- C:\COMPAQ\MSD\IaStor.sys
[2008.08.13 18:08:44 | 000,325,144 | ---- | M] (Intel Corporation) MD5=42BE6406094936A23280D68D9AEC33D0 -- C:\WINDOWS\system32\drivers\iaStor.sys
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 16:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ERDNT\cache\netlogon.dll
[2008.04.14 16:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 16:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ERDNT\cache\scecli.dll
[2008.04.14 16:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008.04.14 16:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ERDNT\cache\user32.dll
[2008.04.14 16:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 16:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ERDNT\cache\userinit.exe
[2008.04.14 16:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 16:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2008.04.14 16:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2001.08.17 22:56:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.04.05 21:42:44 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.04.05 21:42:44 | 001,089,536 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.04.05 21:42:44 | 000,417,792 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >

< End of report >
--- --- ---


bis dann Thomas

cosinus 20.10.2010 14:28
Sieht unauffällig aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?

hasco 20.10.2010 14:52
Verstehe leider deine Frage nicht ganz richtig. Probleme und Funde sind in der Zwischenzeit nicht aufgetreten. Nur mein Anfangsproblem besteht immer noch ich kann mein ESET Virenprogramm nicht aktualisieren.

Habe ich deine Frage damit beantwortet?

cosinus 20.10.2010 15:13
Dann ist d anoch irgendein Rootkit am Werkeln, dass ich so mit "meinen" Tools nicht sehe :wtf:
ESET-Seite kannst Du immer noch nicht erreichen und Malwarebytes schließt sich auch wieder nach 5 Sekunden? :wtf:

Probier mal aus => Kaspersky Rescue Disk: Boot-CD mit Virenscanner (ISO-Image) | Windows Security Blog ScareWare.de - Sicherheit gegen Malware

hasco 21.10.2010 08:52
Also nun werde ich mal probieren alles der Reihenfolge nach zu berichten.

Kasper auf CD gebrannt und von CD den Rechner gestartet.
Kasper upgedatet und durchlaufen lassen.
Der fand irgendwelche Sachen die ich löschen lies.
Zwei davon hießen:
- Trojan-PSW.Win32.Kates.ly
- HEUR:Trojan.Win32.Genric
es kamen noch ein paar die ich mir leider nicht aufgeschrieben habe da ja ein Protokoll erzeugt werden sollte.
Dies geschah auch und ich habe es auf dem "Computer" mit dem Namen Kasper.txt gespeichert. Kann jetzt die Datei leider nicht wiederfinden.
Dann habe ich den rechner neu gestartet.
ESET hat sich automatisch Aktualisiert und Malwarebytes läuft jetzt auch durch. Hier die Log vom Quickscan

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4897

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.10.2010 09:40:07
mbam-log-2010-10-21 (09-40-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163331
Laufzeit: 3 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Wenn mein Laienwissen mich nicht ganz verlässt sollte mein Rechner doch jetzt wieder Fit sein oder?
Nun habe ich noch ein paar Fragen:
Wie kann ich so einen Angriff vermeiden? Damit so was in Zukunft nicht wieder passiert.
Ist meine Virensoftware nicht gut genug? Die läuft auf allen meinen 5 Arbeitsplätzen und nur der eine wurde angegriffen.

So und sollte das Problem damit behoben sein möchte ich dir ein dickes Lob für die Hilfe geben. Ich möchte mich aber auch nicht nur per Text bedanken. Kann ich Euer Board auch in irgendeiner anderen Art unterstützen?

bis dann Thomas

cosinus 23.10.2010 19:31
Malwarebytes kannst Du jetzt normal starten ohne dass es sich beendet nach 5 Sekunden?
mach mal bitte ein Update und einen Vollscan mit Malwarebytes.


Zitat:
Wie kann ich so einen Angriff vermeiden? Damit so was in Zukunft nicht wieder passiert.
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

hasco 25.10.2010 06:49
Guten Morgen

hier der LOG des vollständigen Suchlaufes. Ein Teil hat er gefunden und gelöscht.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4940

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.10.2010 07:47:36
mbam-log-2010-10-25 (07-47-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 222982
Laufzeit: 22 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\_OTL\MovedFiles\10122010_142801\C_WINDOWS\system32\mobswchx.dll (Trojan.VirTool) -> Quarantined and deleted successfully.


schöne Woche bis dann Thomas

cosinus 25.10.2010 10:02
Das ist nicht weiter schlimm, denn er hat was gefunden, was wir mit OTL bereits unschädlich gemacht haben.
Noch Probleme oder andere Funde?

hasco 25.10.2010 14:50
Alles läuft wieder so wie ich mir das vorstelle.
Vielen vielen Dank für deine Hilfe.

bis dann Thomas

PS Wie kann ich, außer mit Danke, euch ein wenig unterstützen?

cosinus 25.10.2010 15:00
Zitat:
PS Wie kann ich, außer mit Danke, euch ein wenig unterstützen?
Wenn Du willst kannste was spenden. Schau in meine Signatur, da findest Du den Link.

Ansonsten sind wir dann durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

hasco 28.10.2010 13:02
Mit deinen Tipps werde ich mich am WE in Ruhe beschäftigen und alle Rechner umstellen. Vielen Dank noch mal für deine Hilfe.:daumenhoc
Habe eben eine "Kleinigkeit" gespendet, ich hoffe es hilft ein wenig eure Arbeit zu unterstützen.
Nochmals vielen Dank und hoffentlich brauche ich deine Hilfe nicht noch einmal

bis dann Thomas


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131