Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rundll-Fehler, unbek. Sys-dateien, aufspringende IE-Fenster, Trojaner ... (https://www.trojaner-board.de/93311-rundll-fehler-unbek-sys-dateien-aufspringende-ie-fenster-trojaner.html)

Unicorn 28.11.2010 21:53
Rundll-Fehler, unbek. Sys-dateien, aufspringende IE-Fenster, Trojaner ...
 
Hallo ...

nachdem ich nun alles getan habe, was ich hätte tun sollen, erlaube ich mir die Logs als *.zip zu posten incl. meiner Beschreibung.

Nachdem ich mir dieser Tage eine Datei aus dem Netz geladen hatte und recht schnell gemerkt habe, dass es mein System verseucht hat (ständig aufspringende IE-Fenster zu irgendwelchen Werbeseiten, kein Zugriff mehr auf die Systemwiederherstellung, kein Zugriff auf Ordneroptionen zwecks Ansichtänderung etc.), habe ich Spybot geladen und einiges bereinigen können. Ich konnte die Systemwiederherstellung wieder laden, hab wieder freien Zugriff auf meine Ordner und ich bekomme nicht ständig die Meldung "es ist nur der Offline-Zugriff möglich... ", weil irgendwas im Hintergrund ständig versucht hat, meinen Internetzugangn sofort zu nutzen.

Dennoch habe ich immer noch entweder aufspringende IE-Fenster oder mein System friert ein (es geht dann gar nichts mehr ausser Griff zum Resetbutton am Rechner) und vor allem zeigt mir Antivir ständig infizierte *.dlls an. Mein Temp-Ordner füllt sich ständig mit neu wiederkehrenden Verzeichnissen, die ungefähr so aussehen Temp\{C80FF8ED-4773-4F4D-80B9-72BCDBA6F54B} und in denen irgendwelche *.jar Dateien, dll´s etc. drin sind, wo ich wirklich nicht weiß, wo die herkommen. Ebenso existiert eine sys-Datei im system32-> drivers ordner, die anscheinend schon beim Booten geladen wird und weder zu löschen noch zu bearbeiten ist noch sonst was. Auch im Internet finde ich null Infos dazu: udekydv.sys

Daher meine Hilferuf. Irgendwie habe ich das Gefühl, ich habe einiges wegbekommen - aber eben noch nicht alles. Und je länger der Rechner läuft, umso eher kommen die Fehler wieder zurück. Sämtliche Logs (auch von Spy ein kurzer Bericht sowie eine Info zu den AntiVir-Quarantäne-Dateien) habe ich als Zip gepackt und hier angefügt. Und nun hoffe ich einfach, es kann mir bitte einer weiterhelfen, da ich keine ungern alles formatieren und neu installieren möchte.

Vielen Dank im voraus.
(die) Unicorn

cosinus 29.11.2010 20:46
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Unicorn 30.11.2010 01:34
Danke fürs willkommen heißen und die Hilfe.

Also - die Scans, die ich zuvor gemacht hatte, waren leider ja auch nur Quick-Scans (wer lesen kann, ist klar im Vorteil - ich weiß, mea culpa).

Habe sie dennoch jetzt einfach alle mal gezippt und angehangen und in der Zeit mal wieder aufspringende IE-Fenster gekillt *seufz* :heulen: In der Zeit hat sich Avira natürlich auch wieder gemeldet mit folgenden Meldungen:

Typ: Datei
Quelle: C:\System Volume Information\_restore{2ECD75EF-716A-491C-A86F-3CFDDB4ECD49}\RP1\A0002260.dll
Status: Infiziert
Quarantäne-Objekt: 4fcde264.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.114
Virendefinitionsdatei: 7.10.14.136
Meldung: Ist das Trojanische Pferd TR/Dldr.Mufanom.arby
Datum/Uhrzeit: 30.11.2010, 01:18

Typ: Datei
Quelle: C:\System Volume Information\_restore{2ECD75EF-716A-491C-A86F-3CFDDB4ECD49}\RP1\A0001101.exe
Status: Infiziert
Quarantäne-Objekt: 4fcde671.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.114
Virendefinitionsdatei: 7.10.14.136
Meldung: Ist das Trojanische Pferd TR/Ertfor.D
Datum/Uhrzeit: 30.11.2010, 01:17

Damit geh ich jetzt auch dann auch ins Bett und sage mir: es kann hoffentlich nur noch besser werden.

Thx und gute Nacht
Chris (Unicorn)

cosinus 30.11.2010 19:13
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\zgtbjsfm.sys -- (zgtbjsfm)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O20 - AppInit_DLLs: (regcfg.dll) - C:\WINDOWS\System32\regcfg.dll ()
O20 - AppInit_DLLs: (inetclient.dll) - C:\WINDOWS\System32\inetclient.dll ()
O22 - SharedTaskScheduler: {B1B220C1-A503-59BD-F413-03B53A2C8954} - uysefb8732hrfuishdiugfuysf - Reg Error: Key error. File not found
[2010.11.27 18:00:26 | 000,282,624 | ---- | C] (Cinematronics) -- C:\WINDOWS\System32\dllcache\pinball.exe
[2010.11.28 20:52:29 | 000,765,952 | ---- | M] () -- C:\WINDOWS\System32\drivers\udekydv.sys
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Unicorn 30.11.2010 20:02
Hallo Arne,

folgendes Logfile öffnete sich nach dem Neustart:

Zitat:
All processes killed
========== OTL ==========
Service zgtbjsfm stopped successfully!
Service zgtbjsfm deleted successfully!
File C:\WINDOWS\System32\drivers\zgtbjsfm.sys not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:regcfg.dll deleted successfully.
File move failed. C:\WINDOWS\system32\regcfg.dll scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:inetclient.dll deleted successfully.
File move failed. C:\WINDOWS\system32\inetclient.dll scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{B1B220C1-A503-59BD-F413-03B53A2C8954} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B1B220C1-A503-59BD-F413-03B53A2C8954}\ not found.
C:\WINDOWS\system32\dllcache\pinball.exe moved successfully.
File move failed. C:\WINDOWS\system32\drivers\udekydv.sys scheduled to be moved on reboot.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: cp
->Temp folder emptied: 4842074 bytes
->Temporary Internet Files folder emptied: 26985333 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 651 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 369771 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 68442 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 31,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 11302010_194524

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\regcfg.dll scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\inetclient.dll scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\udekydv.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...
Hmm.. ich weiß grad nicht, wie ich es sagen soll, aber:
Ich hatte zwar noch kein aufspringendes IE-Fenster gehabt seitdem - und das hätte ich normalerweise schon gehabt, aber dass bestimmte Dateien nicht gelöscht werden konnten, macht mich wiederum doch stutzig. Oder?

Lieben Gruß
Chris

cosinus 30.11.2010 20:14
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Unicorn 30.11.2010 21:06
Sodele....
ei ei ei.. da soll mal einer durchblicken. Zum Glück kannst du das. Anbei das Ergebnis und jetzt auch im richtigen Format:

Code:
ComboFix 10-11-30.01 - cp 30.11.2010  20:46:03.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1614 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\cp\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt
c:\dokumente und einstellungen\cp\Anwendungsdaten\completescan
C:\Thumbs.db
c:\windows\system32\Install.txt

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((  Dateien erstellt von 2010-10-28 bis 2010-11-30  ))))))))))))))))))))))))))))))
.

2010-11-30 18:45 . 2010-11-30 18:45        --------        d-----w-        C:\_OTL
2010-11-27 22:36 . 2008-04-14 14:00        4952        --sha-r-        C:\bootfont.bin

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-28 281768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Jet Detection"=c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" /hide
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"e:\\IncrediMail\\Bin\\IncMail.exe"=
"e:\\IncrediMail\\Bin\\ImApp.exe"=
"e:\\IncrediMail\\Bin\\ImpCnt.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\ie8\\iexplore.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:*:Disabled:Adobe CSI CS4

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [28.11.2010 14:23 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.11.2010 14:23 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [28.11.2010 14:23 403624]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - udekydv
.
Inhalt des "geplante Tasks" Ordners

2010-11-03 c:\windows\Tasks\1-Klick-Wartung.job
- g:\tuneup\SystemOptimizer.exe [2006-10-02 15:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = hxxp://www.google.com/
uStart Page = hxxp://www.google.de/
mLocal Page = hxxp://www.google.com/
mStart Page = hxxp://www.google.com/
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F560} - hxxp://92.51.137.94/objects/NpFv522.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-30 20:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\udekydv]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1390067357-1979792683-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(760)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(2792)
c:\programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\CTsvcCDA.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
g:\cdburnerxp\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-30  20:54:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-30 19:53

Vor Suchlauf: 5 Verzeichnis(se), 13.320.646.656 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 13.218.508.800 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=1 Default=1 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 24596D5A1B47140F7EF80F15CABC02DA
Ich weiß nicht wieso, aber irgendwie stolper ich immer wieder über dieses "udekydv" ... seltsam.

Bitte sag mir, dass der Patient nicht tot ist :nono:

Grüßle

cosinus 30.11.2010 21:11
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\udekydv]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Unicorn 30.11.2010 22:01
Hmmm... jetzt hatte ich die Meldung, dass Combo zu aktualisieren wäre - habe ich also getan. Obwohl meine AntiVir genau wie vorhin deaktiviert war, bekam ich schon während des Scans Meldungen - Verdächtiges Verhalten....

Ergebnis des Scans:

Code:
ComboFix 10-11-30.02 - cp 30.11.2010  21:44:35.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1615 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\cp\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\cp\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-10-28 bis 2010-11-30  ))))))))))))))))))))))))))))))
.

2010-11-30 19:38 . 2010-11-30 19:54        --------        d-----w-        C:\cofi
2010-11-30 18:45 . 2010-11-30 18:45        --------        d-----w-        C:\_OTL
2010-11-27 22:36 . 2008-04-14 14:00        4952        --sha-r-        C:\bootfont.bin

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((  SnapShot@2010-11-30_19.51.37  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-11-27 13:48 . 2010-11-30 20:48        765952              c:\windows\system32\drivers\udekydv.sys
- 2010-11-27 13:48 . 2010-11-30 19:52        765952              c:\windows\system32\drivers\udekydv.sys
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-28 281768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Jet Detection"=c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" /hide
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"e:\\IncrediMail\\Bin\\IncMail.exe"=
"e:\\IncrediMail\\Bin\\ImApp.exe"=
"e:\\IncrediMail\\Bin\\ImpCnt.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\ie8\\iexplore.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:*:Disabled:Adobe CSI CS4

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [28.11.2010 14:23 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.11.2010 14:23 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [28.11.2010 14:23 403624]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - udekydv
.
Inhalt des "geplante Tasks" Ordners

2010-11-03 c:\windows\Tasks\1-Klick-Wartung.job
- g:\tuneup\SystemOptimizer.exe [2006-10-02 15:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = hxxp://www.google.com/
uStart Page = hxxp://www.google.de/
mLocal Page = hxxp://www.google.com/
mStart Page = hxxp://www.google.com/
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F560} - hxxp://92.51.137.94/objects/NpFv522.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-30 21:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\udekydv]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1390067357-1979792683-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(756)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2010-11-30  21:50:43
ComboFix-quarantined-files.txt  2010-11-30 20:50
ComboFix2.txt  2010-11-30 19:54

Vor Suchlauf: 6 Verzeichnis(se), 13.182.861.312 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 13.179.469.824 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - F18B684A968C8A34013DE143C6ED92DE
Jetzt gerade bekomme ich ebenso die Warnungen:
Verdächtiges Verhalten einer Anwendung entdeckt. Fund: C:\confi1283c\Catchme.tmp
Verdächtiges Verhalten einer Anwendung entdeckt. Fund: C:\confi1283c\REGT.cfxxe

Ich glaube, ich starte mal gerade neu. Denn komischerweise sehe ich mein AntiVir auch nicht in der Taskleiste. Ich werde echt noch irre :balla:.

cosinus 30.11.2010 22:39
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Unicorn 30.11.2010 23:22
Entwickelt sich ja anscheinend zu einer Never ending story ... ich weiß gar nicht, für wen es mir mehr leid tut: für euch, weil ihr so viel Zeit reinsteckt oder für mich, weil ich so viel Zeit reinstecke.

Hier also die Logs - wobei ich nicht sicher bin, ob das MBR Log vollständig ist - da hat sich mein Rechner dann nämlich aufgehangen.

GMER
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-30 23:01:32
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\0000006b MAXTOR_STM3250820AS rev.3.AAE
Running: gmer.exe; Driver: C:\DOKUME~1\cp\LOKALE~1\Temp\kftyqpod.sys


---- System - GMER 1.0.15 ----

SSDT    BA6E2706                                                                                                                                  ZwCreateKey
SSDT    BA6E26FC                                                                                                                                  ZwCreateThread
SSDT    BA6E270B                                                                                                                                  ZwDeleteKey
SSDT    BA6E2715                                                                                                                                  ZwDeleteValueKey
SSDT    BA6E2733                                                                                                                                  ZwLoadDriver
SSDT    BA6E271A                                                                                                                                  ZwLoadKey
SSDT    BA6E26E8                                                                                                                                  ZwOpenProcess
SSDT    BA6E26ED                                                                                                                                  ZwOpenThread
SSDT    BA6E2724                                                                                                                                  ZwReplaceKey
SSDT    BA6E271F                                                                                                                                  ZwRestoreKey
SSDT    BA6E2738                                                                                                                                  ZwSetSystemInformation
SSDT    BA6E2710                                                                                                                                  ZwSetValueKey
SSDT    BA6E26F7                                                                                                                                  ZwTerminateProcess
SSDT    BA6E26F2                                                                                                                                  ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text    ntkrnlpa.exe!ZwCallbackReturn + 2DCC                                                                                                      80504668 4 Bytes  CALL B70AB493
.text    udekydv.sys                                                                                                                                B9EA9000 62 Bytes  JMP B9EEF29A udekydv.sys
.text    udekydv.sys                                                                                                                                B9EA903F 12 Bytes  [00, 89, 4C, 24, 28, 9C, 9C, ...]
.text    udekydv.sys                                                                                                                                B9EA904C 111 Bytes  [1A, 00, 00, 89, 74, 24, 54, ...]
.text    udekydv.sys                                                                                                                                B9EA90BC 27 Bytes  [66, 3D, D2, 65, 83, C5, 08, ...]
.text    udekydv.sys                                                                                                                                B9EA90D8 8 Bytes  [00, 9C, 00, 45, 04, E8, 2D, ...]
.text    ...                                                                                                                                       
?        C:\WINDOWS\system32\drivers\udekydv.sys                                                                                                    Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE    Ntfs.sys                                                                                                                                  B9D6DE55 4 Bytes  CALL 89D84181
.text    C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                                  section is writeable [0xB8DDB360, 0x2456AE, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

?        C:\WINDOWS\System32\svchost.exe[2880]                                                                                                      image checksum mismatch; number of sections mismatch; time/date stamp mismatch;

---- User IAT/EAT - GMER 1.0.15 ----

IAT      C:\WINDOWS\Explorer.EXE[1848] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                                  [034A2F30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\WINDOWS\Explorer.EXE[1848] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                                        [034A2CA0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\WINDOWS\Explorer.EXE[1848] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                                      [034A2D00] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\WINDOWS\Explorer.EXE[1848] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                            [034A2CD0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]          [003E2F30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]  [003E2CA0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                [003E2D00] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]      [003E2CD0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]                                    51EC8B55
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]                          1845DB51
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]                                    F855DD56
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]                          E8084DDC
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]                          000004D2
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]                        FF184589
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation]                                40515C15
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken]                                    F845DD00
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken]                                    8B104DDC
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus]                                    1865DAF0
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]                        0004B9E8
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey]                                        8BC88B00
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                                      F74199C6
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]                        C28B5EF9
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]                                2B08244C
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW]                                            9904244C
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree]                                          8BF9F741
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess]                                  244403C2
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread]                                    FF56C304
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress]                                      40515C15
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                                      244C8B00
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW]                                        244403C1
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary]                                        15FFC308
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW]                                            [0040515C] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]                          04244C8B
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW]                                          F9F74199
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess]                                        FFC3C28B
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW]                                    40515C15
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]                          646A9900
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap]                                      33F9F759
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode]                                        24543BC0
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]                        C09C0F04
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]                        EC8B55C3
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]                          0204EC81
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA]                                        68560000
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]                            00000100
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount]                                        515415FF
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]                                  8B590040
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]                                00FFB8F0
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]                            8D500000
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess]                                    FFFEFC8D
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]                            C93351FF
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc]                                          558D5151
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW]                                            8D5052FC
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]                                FFFDFC85
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject]                                  40504415
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap]                                            56216A00
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey]                                              FFFC75FF
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat]                                                40515815
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy]                                                0CC48300
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap]                                        C01BD8F7
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]                                C95EC623
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString]                                  EC8B55C3
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid]                                      458B5151
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]                                  33565308
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]                                    57C88BF6
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose]                                                33FC7589
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]                                01518DFF
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]                          8441198A
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]                                2BF975DB
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce]                                              802974CA
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader]                                      7420063C
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen]                                                75FF850A
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]                            45FF470C
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid]                                            8506EBFC
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]                              46C88BFF
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]                              8A01518D
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]                            DB844119
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]                                CA2BF975
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen]                                      D772F13B
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]                                5FFC458B
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]                                  C3C95B5E
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]                                  83EC8B55
IAT      C:\WINDOWS\System32\svchost.exe[2880] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]                            56530CEC
IAT      C:\WINDOWS\system32\wscntfy.exe[3688] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                          [00802F30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\WINDOWS\system32\wscntfy.exe[3688] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                                [00802CA0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\WINDOWS\system32\wscntfy.exe[3688] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                              [00802D00] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\WINDOWS\system32\wscntfy.exe[3688] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                    [00802CD0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Dokumente und Einstellungen\cp\Desktop\gmer.exe[3936] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                      [003B2F30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Dokumente und Einstellungen\cp\Desktop\gmer.exe[3936] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]              [003B2CA0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Dokumente und Einstellungen\cp\Desktop\gmer.exe[3936] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                            [003B2D00] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT      C:\Dokumente und Einstellungen\cp\Desktop\gmer.exe[3936] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                  [003B2CD0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                                                    89CAE330
Device  \Driver\Tcpip \Device\Ip                                                                                                                  890C5720
Device  \Driver\Tcpip \Device\Tcp                                                                                                                  890C5720
Device  \Driver\Tcpip \Device\Udp                                                                                                                  890C5720
Device  \Driver\Tcpip \Device\RawIp                                                                                                                890C5720
Device  \Driver\Tcpip \Device\IPMULTICAST                                                                                                          890C5720

---- Services - GMER 1.0.15 ----

Service  (*** hidden *** )                                                                                                                        [BOOT] udekydv                                                                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\udekydv@onfnglqvk                                                                                  818678999
Reg      HKLM\SYSTEM\CurrentControlSet\Services\udekydv@Type                                                                                        1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\udekydv@Start                                                                                      0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\udekydv@ErrorControl                                                                                0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\udekydv@Group                                                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet002\Services\udekydv@onfnglqvk                                                                                      818678999
Reg      HKLM\SYSTEM\ControlSet002\Services\udekydv@Type                                                                                            1
Reg      HKLM\SYSTEM\ControlSet002\Services\udekydv@Start                                                                                          0
Reg      HKLM\SYSTEM\ControlSet002\Services\udekydv@ErrorControl                                                                                    0
Reg      HKLM\SYSTEM\ControlSet002\Services\udekydv@Group                                                                                          Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet003\Services\udekydv@onfnglqvk                                                                                      818678999
Reg      HKLM\SYSTEM\ControlSet003\Services\udekydv@Type                                                                                            1
Reg      HKLM\SYSTEM\ControlSet003\Services\udekydv@Start                                                                                          0
Reg      HKLM\SYSTEM\ControlSet003\Services\udekydv@ErrorControl                                                                                    0
Reg      HKLM\SYSTEM\ControlSet003\Services\udekydv@Group                                                                                          Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet004\Services\udekydv@onfnglqvk                                                                                      818678999
Reg      HKLM\SYSTEM\ControlSet004\Services\udekydv@Type                                                                                            1
Reg      HKLM\SYSTEM\ControlSet004\Services\udekydv@Start                                                                                          0
Reg      HKLM\SYSTEM\ControlSet004\Services\udekydv@ErrorControl                                                                                    0
Reg      HKLM\SYSTEM\ControlSet004\Services\udekydv@Group                                                                                          Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet005\Services\udekydv@onfnglqvk                                                                                      818678999
Reg      HKLM\SYSTEM\ControlSet005\Services\udekydv@Type                                                                                            1
Reg      HKLM\SYSTEM\ControlSet005\Services\udekydv@Start                                                                                          0
Reg      HKLM\SYSTEM\ControlSet005\Services\udekydv@ErrorControl                                                                                    0
Reg      HKLM\SYSTEM\ControlSet005\Services\udekydv@Group                                                                                          Boot Bus Extender

---- EOF - GMER 1.0.15 ----
Osam
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:08:07 on 30.11.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"1-Klick-Wartung.job" - "TuneUp Software GmbH" - G:\TuneUp\SystemOptimizer.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"AudioHQU.cpl" - "Creative Technology Ltd." - C:\WINDOWS\system32\AudioHQU.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Gamma" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma.cpl
"Avira AntiVir Premium" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\cp\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Creative AC3 Software Decoder" (ctac32k) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\ctac32k.sys
"Creative DVD-Audio Device Driver" (ctdvda2k) - ? - C:\WINDOWS\System32\drivers\ctdvda2k.sys  (File not found)
"Creative P16V HAL Driver" (hap16v2k) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\hap16v2k.sys
"Creative Proxy Driver" (ctprxy2k) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\ctprxy2k.sys
"Creative SoundFont Management Device Driver" (ctsfm2k) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\ctsfm2k.sys
"E-mu Plug-in Architecture Driver" (emupia) - "Creative Technology Ltd" - C:\WINDOWS\System32\drivers\emupia2k.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kftyqpod" (kftyqpod) - ? - C:\DOKUME~1\cp\LOKALE~1\Temp\kftyqpod.sys  (Hidden registry entry, rootkit activity | File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"udekydv" (udekydv) - "Windows (R) Codename Longhorn DDK provider" - C:\WINDOWS\system32\drivers\udekydv.sys  (Hidden file | Hidden registry entry, rootkit activity)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{59850401-6664-101B-B21C-00AA004BA90B} "Microsoft Office Binder Unbind" - "Microsoft Corporation" - E:\PROGRA~1\OFFICE~1\Office\1031\UNBIND.DLL
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - E:\PROGRA~1\OFFICE~1\Office\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{B8323370-FF27-11D2-97B6-204C4F4F5020} "SmartFTP Shell Extension DLL" - "SmartFTP" - G:\FTP\smarthook.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software GmbH" - G:\TuneUp\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software GmbH" - C:\WINDOWS\system32\uxtuneup.dll
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{E55FD215-A32E-43FE-A777-A7E8F165F560} "Flatcast Viewer 5.2" - "1 mal 1 Software GmbH" - C:\WINDOWS\DOWNLO~1\CONFLICT.2\NpFv522.dll / hxxp://92.51.137.94/objects/NpFv522.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - D:\SPYBOT~1\SDHelper.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - D:\SPYBOT~1\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\cp\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir MailGuard" (AntiVirMailService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
"Client Service for NetWare" (NWCWorkstation) - ? - C:\WINDOWS\system32\nwcwks.dll  (File not found)
"Creative Service for CDROM Access" (Creative Service for CDROM Access) - "Creative Technology Ltd" - C:\WINDOWS\system32\CTsvcCDA.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"LVCOMSer" (LVCOMSer) - "Logitech Inc." - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
"LVSrvLauncher" (LVSrvLauncher) - "Logitech Inc." - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
"NMSAccess" (NMSAccess) - ? - G:\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Process Monitor" (LVPrcSrv) - "Logitech Inc." - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
MBR
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0000007d

Kernel Drivers (total 130):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xB9EA8000 udekydv.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA0B8000 MountMgr.sys
  0xB9E89000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9E63000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA0C8000 VolSnap.sys
  0xB9E4B000 atapi.sys
  0xB9E31000 nvata.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xB9E11000 fltMgr.sys
  0xB9DFF000 sr.sys
  0xB9DE8000 KSecDD.sys
  0xB9DD5000 WudfPf.sys
  0xB9D48000 Ntfs.sys
  0xB9D1B000 NDIS.sys
  0xB9D01000 Mup.sys
  0xBA268000 \SystemRoot\System32\DRIVERS\processr.sys
  0xBA448000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xBA278000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA568000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB93D2000 \SystemRoot\System32\DRIVERS\parport.sys
  0xBA288000 \SystemRoot\System32\DRIVERS\i8042prt.sys
  0xBA450000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xBA458000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xBA460000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xB93AE000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA468000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB933F000 \SystemRoot\system32\drivers\ctaud2k.sys
  0xB931B000 \SystemRoot\system32\drivers\portcls.sys
  0xBA2A8000 \SystemRoot\system32\drivers\drmk.sys
  0xB92F8000 \SystemRoot\system32\drivers\ks.sys
  0xB92DF000 \SystemRoot\system32\drivers\ctoss2k.sys
  0xBA5BE000 \SystemRoot\System32\drivers\ctprxy2k.sys
  0xBA56C000 \SystemRoot\System32\DRIVERS\gameenum.sys
  0xBA2C8000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA2D8000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xBA2E8000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xBA2F8000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
  0xB91A2000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
  0xB8DDB000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB8DC7000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA753000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xBA148000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xBA574000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xB8D80000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xBA158000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xBA168000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xBA470000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xB8D6F000 \SystemRoot\System32\DRIVERS\psched.sys
  0xBA178000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xBA478000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xBA480000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xB8D3F000 \SystemRoot\System32\DRIVERS\rdpdr.sys
  0xBA188000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xBA5D8000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xB8CE1000 \SystemRoot\System32\DRIVERS\update.sys
  0xBA58C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA198000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xBA490000 \SystemRoot\System32\DRIVERS\flpydisk.sys
  0xBA1B8000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
  0xBA1C8000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA5DE000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB619E000 \SystemRoot\system32\drivers\ha10kx2k.sys
  0xB617D000 \SystemRoot\System32\drivers\ctac32k.sys
  0xB615B000 \SystemRoot\System32\drivers\emupia2k.sys
  0xB613C000 \SystemRoot\System32\drivers\ctsfm2k.sys
  0xBA5E0000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA789000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5E2000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA4A0000 \SystemRoot\System32\drivers\vga.sys
  0xBA5E4000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5E6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBA4A8000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBA4B0000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB9CC1000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0xB6089000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB6030000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0xB5FE0000 \SystemRoot\System32\DRIVERS\netbt.sys
  0xB5FBA000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB9406000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xBA208000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xB5F98000 \SystemRoot\System32\drivers\afd.sys
  0xBA218000 \SystemRoot\System32\DRIVERS\netbios.sys
  0xBA340000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB5F6D000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0xB5EFD000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xBA228000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB93FA000 \SystemRoot\system32\DRIVERS\lvuvcflt.sys
  0xBA360000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB5CF3000 \SystemRoot\system32\DRIVERS\LVMVDrv.sys
  0xBA238000 \SystemRoot\system32\drivers\LVUSBSta.sys
  0xB58EA000 \SystemRoot\system32\DRIVERS\lvuvc.sys
  0xB5716000 \SystemRoot\system32\DRIVERS\lvpopflt.sys
  0xBA248000 \SystemRoot\system32\drivers\usbaudio.sys
  0xB5515000 \SystemRoot\system32\DRIVERS\LVcKap.sys
  0xB54CA000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA5EA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xBA308000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB5465000 \SystemRoot\System32\Drivers\dump_nvata.sys
  0xBA600000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB9CCD000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBA370000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA719000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB4A4C000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB4A38000 \SystemRoot\System32\DRIVERS\ndisuio.sys
  0xB3EFF000 \SystemRoot\System32\DRIVERS\mrxdav.sys
  0xB3E9A000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB406C000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBA64A000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB3463000 \SystemRoot\System32\DRIVERS\srv.sys
  0xBA3F8000 \SystemRoot\system32\DRIVERS\LVPr2Mon.sys
  0xB2ED2000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB191C000 \??\C:\DOKUME~1\cp\LOKALE~1\Temp\kftyqpod.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
      0 System Idle Process
      4 System
    620 C:\WINDOWS\system32\smss.exe
    676 csrss.exe
    704 C:\WINDOWS\system32\winlogon.exe
    748 C:\WINDOWS\system32\services.exe
    760 C:\WINDOWS\system32\lsass.exe
    956 C:\WINDOWS\system32\svchost.exe
    1004 svchost.exe
    1100 C:\WINDOWS\system32\svchost.exe
    1140 C:\WINDOWS\system32\svchost.exe
    1220 svchost.exe
    1296 svchost.exe
    1540 C:\WINDOWS\system32\spoolsv.exe
    1584 C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
    1600 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1664 svchost.exe
    1848 C:\WINDOWS\explorer.exe
    1952 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1968 C:\WINDOWS\system32\ctfmon.exe
    2016 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    2036 C:\WINDOWS\system32\CTSVCCDA.EXE
    208 C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    340 G:\CDBurnerXP\NMSAccessU.exe
    108 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    636 C:\WINDOWS\system32\nvsvc32.exe
    888 C:\WINDOWS\system32\svchost.exe
    496 C:\Programme\Avira\AntiVir Desktop\avmailc.exe
    672 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
    2708 C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    2904 alg.exe
    2880 C:\WINDOWS\system32\svchost.exe
    3688 C:\WINDOWS\system32\wscntfy.exe
    3784 C:\Programme\Internet Explorer\IEXPLORE.EXE
    1592 C:\Programme\Internet Explorer\IEXPLORE.EXE
    3440 C:\Programme\Internet Explorer\IEXPLORE.EXE
    132 C:\Dokumente und Einstellungen\cp\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000004`e22d6a00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000015`f94d2200  (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000027`106cda00  (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM3250820AS, Rev: 3.AAE 

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0
Mir mal den nächsten Packen Unterlagen schnapp und weiter sortiere nebenbei. Das ist das einzige Gute an der Sache - ich komm mal wieder dazu, die Ablage zu machen :pfeiff:

Gruß :-)

cosinus 01.12.2010 11:26
Das Log von mbrcheck ist unvollständig, bitte ggf ein neues erstellen.
Aber erstmal muss das Rootkit udekydv weg :snyper:

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\udekydv
HKLM\SYSTEM\ControlSet002\Services\udekydv
HKLM\SYSTEM\ControlSet003\Services\udekydv

files to delete:
C:\WINDOWS\system32\drivers\udekydv.sys
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Unicorn 01.12.2010 18:50
Hallo Arne,

here we go again. Als Erstes der Downloadlink für die Backup-Zip: File-Upload.net - backup.zip

Und hier der Inhalt der Logfile:
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open registry key "HKLM\SYSTEM\CurrentControlSet\Services\udekydv" for deletion
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\udekydv" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Error:  could not open registry key "HKLM\SYSTEM\ControlSet002\Services\udekydv" for deletion
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Services\udekydv" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Error:  could not open registry key "HKLM\SYSTEM\ControlSet003\Services\udekydv" for deletion
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\udekydv" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)

File "C:\WINDOWS\system32\drivers\udekydv.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Und ich werde jetzt nochmal versuchen, ob ich das mit dem mbrcheck hinbekomme, ohne dass sich der Rechner aufhängt.

Gruß
Chris

Edit:
MBRcheck hab ich nochmal gestartet, bleibt aber an der gleichen Stelle hängen und dann geht gar nichts mehr. Selbst den Rechner krieg ich nicht runtergefahren, sondern muss resetten.

cosinus 01.12.2010 20:10
Zitat:
Als Erstes der Downloadlink für die Backup-Zip: File-Upload.net - backup.zip
Der Link ist nicht klickbar. Du kannst die backup.zip aber auch direkt im TB hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Unicorn 01.12.2010 20:24
Hmm... komisch ...

sobald ich auf Vorschau gehe, ist der Link weg. Seltsam..

... aber habe ihn sicherheitshalber der Anleitung entsprechend hochgeladen :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:31 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131