Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder (https://www.trojaner-board.de/95076-sicherheitscenter-laesst-aktivieren-deaktiviert-sofort.html)

Schnupsi 27.01.2011 00:29
Soooo weiter gehts


Code:
ComboFix 11-01-25.05 - Spirit 27.01.2011  0:17.1.1 - x86
Microsoft Windows 7 Ultimate  6.1.7600.0.1252.49.1031.18.2943.2368 [GMT 1:00]
ausgeführt von:: c:\users\Spirit\Desktop\cofi.exe
AV: ESET Smart Security 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
FW: ESET Personal Firewall *Enabled* {4FE52EC8-CB26-1113-0EFE-8842E2773BAA}
SP: ESET Smart Security 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Spirit\AppData\Roaming\Local
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\1.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\2.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\intro_mfukui.avi.ddr
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\intro_mfukui.avi.ddp
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx
c:\users\Spirit\AppData\Roaming\MSA
c:\windows\system32\Device.dll
c:\windows\system32\muzapp.exe
c:\windows\system32\system32
c:\windows\system32\system32\cis-2.4.dll
c:\windows\system32\system32\issacapi_bs-2.3.dll
c:\windows\system32\system32\issacapi_pe-2.3.dll
c:\windows\system32\system32\issacapi_se-2.3.dll
c:\windows\system32\system32\MACXMLProto.dll
c:\windows\system32\system32\MaDRM.dll
c:\windows\system32\system32\MaJGUILib.dll
c:\windows\system32\system32\MaJUtilLib.dll
c:\windows\system32\system32\MAMACExtract.dll
c:\windows\system32\system32\MASetupCaller.dll
c:\windows\system32\system32\MASetupCleaner.exe
c:\windows\system32\system32\MaXMLProto.dll
c:\windows\system32\system32\MetaStore2.dll
c:\windows\system32\system32\Microsoft.Synchronization.dll
c:\windows\system32\system32\MK_Lyric.dll
c:\windows\system32\system32\MSCLib.dll
c:\windows\system32\system32\MSFLib.dll
c:\windows\system32\system32\MSLUR71.dll
c:\windows\system32\system32\msvcp60.dll
c:\windows\system32\system32\MTTELECHIP.dll
c:\windows\system32\system32\MTXSYNCICON.dll
c:\windows\system32\system32\muzaf1.dll
c:\windows\system32\system32\muzapp.dll
c:\windows\system32\system32\muzapp.exe
c:\windows\system32\system32\muzdecode.ax
c:\windows\system32\system32\muzeffect.ax
c:\windows\system32\system32\muzmp4sp.ax
c:\windows\system32\system32\muzmpgsp.ax
c:\windows\system32\system32\muzoggsp.ax
c:\windows\system32\system32\muzwmts.dll
c:\windows\system32\system32\psapi.dll
c:\windows\system32\system32\Synchronization2.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-12-26 bis 2011-01-26  ))))))))))))))))))))))))))))))
.

2011-01-26 20:53 . 2011-01-26 20:53        --------        d-----w-        C:\_OTL
2011-01-26 19:14 . 2011-01-26 19:14        --------        d-----w-        c:\users\Spirit\AppData\Roaming\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-26 19:14 . 2011-01-26 19:14        --------        d-----w-        c:\programdata\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-01-25 20:18 . 2009-11-25 11:47        99176        ----a-w-        c:\windows\system32\PresentationHostProxy.dll
2011-01-25 20:18 . 2009-11-25 11:47        49472        ----a-w-        c:\windows\system32\netfxperf.dll
2011-01-25 20:18 . 2009-11-25 11:47        297808        ----a-w-        c:\windows\system32\mscoree.dll
2011-01-25 20:18 . 2009-11-25 11:47        295264        ----a-w-        c:\windows\system32\PresentationHost.exe
2011-01-25 20:18 . 2009-11-25 11:47        1130824        ----a-w-        c:\windows\system32\dfshim.dll
2011-01-25 20:12 . 2010-02-11 07:10        293376        ----a-w-        c:\windows\system32\browserchoice.exe
2011-01-25 20:10 . 2009-12-11 07:44        133720        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys
2011-01-25 20:09 . 2010-08-27 05:46        168448        ----a-w-        c:\windows\system32\srvsvc.dll
2011-01-25 20:07 . 2010-10-20 03:00        2327552        ----a-w-        c:\windows\system32\win32k.sys
2011-01-25 16:24 . 2011-01-25 16:26        --------        d-----w-        c:\program files\Windows Live Safety Center
2011-01-25 13:48 . 2008-02-05 14:36        798208        ----a-w-        c:\windows\system32\NextControls.ocx
2011-01-25 13:48 . 2000-05-22 16:58        608448        ----a-w-        c:\windows\system32\comctl32.ocx
2011-01-24 18:37 . 2011-01-24 18:37        --------        d-----w-        c:\users\Spirit\AppData\Local\ESET
2011-01-24 14:59 . 2011-01-24 14:59        98392        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys
2011-01-24 14:56 . 2011-01-24 14:56        --------        d-----w-        c:\users\Spirit\AppData\Local\Sunbelt Software
2011-01-24 14:54 . 2011-01-24 14:54        --------        d-----w-        c:\program files\Lavasoft
2011-01-24 13:28 . 2011-01-13 08:41        357968        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2011-01-23 18:45 . 2011-01-24 17:28        --------        d-----w-        c:\programdata\Alwil Software
2011-01-23 17:19 . 2011-01-26 21:30        --------        d-----w-        c:\programdata\Spybot - Search & Destroy
2011-01-23 15:10 . 2011-01-23 15:10        79360        --sha-r-        c:\windows\system32\dwmredirz.dll
2011-01-22 17:49 . 1997-07-19 15:55        1347344        ----a-w-        c:\windows\system32\msvbvm50.dll
2011-01-17 17:55 . 2011-01-17 17:55        --------        d-----w-        c:\programdata\Messenger Plus!
2011-01-17 17:55 . 2011-01-17 17:55        --------        d-----w-        c:\program files\Messenger Plus! Live
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\program files\Microsoft
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\program files\Windows Live SkyDrive
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\program files\Windows Live
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\windows\PCHEALTH
2011-01-11 20:34 . 2011-01-11 20:34        --------        d-----w-        c:\program files\TeamViewer
2011-01-11 02:39 . 2011-01-11 02:43        919040        ----a-w-        c:\windows\system32\_launch.exe
2011-01-11 02:39 . 2011-01-11 02:39        518656        ----a-w-        c:\windows\system32\BomberMan.exe
2011-01-11 02:39 . 2011-01-11 02:39        471552        ----a-w-        c:\windows\system32\bmo.dll
2011-01-10 22:04 . 2011-01-11 15:06        --------        d-----w-        c:\users\Spirit\AppData\Roaming\skypePM
2011-01-10 22:03 . 2011-01-10 22:03        --------        d-----w-        c:\program files\Common Files\Skype
2011-01-10 22:02 . 2011-01-11 20:47        --------        d-----w-        c:\users\Spirit\AppData\Roaming\Skype
2011-01-10 22:02 . 2011-01-10 22:02        --------        d-----w-        c:\programdata\Skype
2011-01-07 17:32 . 2011-01-10 23:28        270240        ----a-w-        c:\windows\system32\PnkBstrB.xtr
2011-01-07 17:30 . 2011-01-07 17:30        --------        d-----w-        c:\users\Spirit\AppData\Local\PunkBuster
2011-01-07 17:28 . 2011-01-10 23:28        139080        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-01-07 17:28 . 2011-01-07 17:28        138056        ----a-w-        c:\users\Spirit\AppData\Roaming\PnkBstrK.sys
2011-01-07 17:27 . 2011-01-10 23:28        270240        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-01-07 17:27 . 2011-01-10 23:21        270240        ----a-w-        c:\windows\system32\PnkBstrB.ex0
2011-01-07 17:27 . 2011-01-07 17:27        75136        ----a-w-        c:\windows\system32\PnkBstrA.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-12 00:44 . 2010-11-12 00:44        94208        ----a-w-        c:\windows\system32\dpl100.dll
2010-11-08 22:57 . 2010-11-08 22:57        353592        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
2010-12-20 17:08        963976        ----a-w-        d:\programme\Malwarebytes' Anti-Malware\mbam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"DivX Download Manager"="c:\program files\DivX\DivX Plus Web Player\DDmService.exe" start
"Windows Mobile Device Center"=%windir%\WindowsMobile\wmdc.exe

R1 aswSnx;aswSnx; [x]
R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2009-02-23 9728]
R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2009-02-23 3072]
R3 FXDrv32;FXDrv32;E:\FXDrv32.sys [x]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712]
R3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\DRIVERS\sscebus.sys [2010-04-27 98560]
R3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\DRIVERS\sscemdfl.sys [2010-04-27 14848]
R3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\DRIVERS\sscemdm.sys [2010-04-27 123648]
R3 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2010-12-07 2228008]
R3 XDva289;XDva289;c:\windows\system32\XDva289.sys [x]
R4 Winstep Xtreme Service;Winstep Xtreme Service;d:\programme\Winstep\WsxService [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-25 691696]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2010-09-09 95568]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-07-26 217088]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-09-09 18120]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-09-09 36640]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai        REG_MULTI_SZ          Akamai
WindowsMobile        REG_MULTI_SZ          wcescomm rapimgr
LocalServiceRestricted        REG_MULTI_SZ          WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Spirit\AppData\Roaming\Mozilla\Firefox\Profiles\6k6sjex9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2843456&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Noia 2.0 (eXtreme): {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} - %profile%\extensions\{9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Noia 2.0 eXtreme OPT: noia2_option@kk.noia - %profile%\extensions\noia2_option@kk.noia
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com
FF - Ext: Aero Fox Silver XL: {5c876f30-10ce-11dd-bd0b-0800200c9a66} - %profile%\extensions\{5c876f30-10ce-11dd-bd0b-0800200c9a66}
FF - Ext: Bloomind FT Graphite: {8225d6f0-dfca-11df-85ca-0800200c9a66} - %profile%\extensions\{8225d6f0-dfca-11df-85ca-0800200c9a66}
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files\DivX\DivX Plus Web Player\firefox\wpa
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
MSConfigStartUp-egui - d:\programme\ESET Smart Security\egui.exe



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winstep Xtreme Service]
"ImagePath"="d:\programme\Winstep\WsxService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-01-27  00:26:58
ComboFix-quarantined-files.txt  2011-01-26 23:26

Vor Suchlauf: 7 Verzeichnis(se), 13.749.870.592 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 13.654.642.688 Bytes frei

- - End Of File - - BC436B5B028AA1142E7945EB15DE5AF8
Ich hoffe wir kommen der Sache näher, nun ist nichtmal mehr die weiße Fahne da...


EDIT: Ok, ich muss mich berichtigen. Nun ist die Fahne wieder da. Scheint alles in Ordnung zu sein, das Sicherheitscenter und der Defender Arbeiten wieder. Er meckert nur ein wenig über das noch fehlende Antivirenprogramm

cosinus 27.01.2011 09:29
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Seccenter::
AV: ESET Smart Security 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
FW: ESET Personal Firewall *Enabled* {4FE52EC8-CB26-1113-0EFE-8842E2773BAA}
SP: ESET Smart Security 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}

File::
c:\windows\system32\_launch.exe
c:\windows\system32\BomberMan.exe
c:\windows\system32\bmo.dll
c:\windows\system32\epmntdrv.sys
c:\windows\system32\EuGdiDrv.sys
c:\windows\system32\XDva289.sys

Driver::
FXDrv32
epmntdrv
EuGdiDrv
XDva289
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Schnupsi 27.01.2011 10:22
So leider muss ich nun mit dem Notebook antworten, da nachdem die cofi.exe einen Neustart veranlasst hat, der Firefox mit folgender Meldung den Dienst versagt:

C:\Program Files\Mozilla Firefox\firefox.exe

Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum löschen markiert wurde.

EDIT: Ignoriere den oberen Teil, FF startet nun doch wieder

Hier aber erstmal das Log

Code:
ComboFix 11-01-26.01 - Spirit 27.01.2011  9:55.2.1 - x86
Microsoft Windows 7 Ultimate  6.1.7600.0.1252.49.1031.18.2943.2247 [GMT 1:00]
ausgeführt von:: c:\users\Spirit\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Spirit\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Im Speicher befindliches AV aktiv.


FILE ::
"c:\windows\system32\_launch.exe"
"c:\windows\system32\bmo.dll"
"c:\windows\system32\BomberMan.exe"
"c:\windows\system32\epmntdrv.sys"
"c:\windows\system32\EuGdiDrv.sys"
"c:\windows\system32\XDva289.sys"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\_launch.exe
c:\windows\system32\bmo.dll
c:\windows\system32\BomberMan.exe
c:\windows\system32\epmntdrv.sys
c:\windows\system32\EuGdiDrv.sys

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EPMNTDRV
-------\Legacy_EUGDIDRV
-------\Legacy_FXDRV32
-------\Legacy_XDVA289
-------\Service_epmntdrv
-------\Service_EuGdiDrv
-------\Service_FXDrv32
-------\Service_XDva289


(((((((((((((((((((((((  Dateien erstellt von 2010-12-27 bis 2011-01-27  ))))))))))))))))))))))))))))))
.

2011-01-27 09:04 . 2011-01-27 09:06        --------        d-----w-        c:\users\Spirit\AppData\Local\temp
2011-01-27 09:04 . 2011-01-27 09:04        --------        d-----w-        c:\users\Mcx1-SPIRIT-PC\AppData\Local\temp
2011-01-27 09:04 . 2011-01-27 09:04        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-01-26 19:14 . 2011-01-26 19:14        --------        d-----w-        c:\users\Spirit\AppData\Roaming\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-26 19:14 . 2011-01-26 19:14        --------        d-----w-        c:\programdata\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-01-25 20:18 . 2009-11-25 11:47        99176        ----a-w-        c:\windows\system32\PresentationHostProxy.dll
2011-01-25 20:18 . 2009-11-25 11:47        49472        ----a-w-        c:\windows\system32\netfxperf.dll
2011-01-25 20:18 . 2009-11-25 11:47        297808        ----a-w-        c:\windows\system32\mscoree.dll
2011-01-25 20:18 . 2009-11-25 11:47        295264        ----a-w-        c:\windows\system32\PresentationHost.exe
2011-01-25 20:18 . 2009-11-25 11:47        1130824        ----a-w-        c:\windows\system32\dfshim.dll
2011-01-25 20:12 . 2010-02-11 07:10        293376        ----a-w-        c:\windows\system32\browserchoice.exe
2011-01-25 20:10 . 2009-12-11 07:44        133720        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys
2011-01-25 20:09 . 2010-08-27 05:46        168448        ----a-w-        c:\windows\system32\srvsvc.dll
2011-01-25 20:07 . 2010-10-20 03:00        2327552        ----a-w-        c:\windows\system32\win32k.sys
2011-01-25 16:24 . 2011-01-25 16:26        --------        d-----w-        c:\program files\Windows Live Safety Center
2011-01-25 13:48 . 2008-02-05 14:36        798208        ----a-w-        c:\windows\system32\NextControls.ocx
2011-01-25 13:48 . 2000-05-22 16:58        608448        ----a-w-        c:\windows\system32\comctl32.ocx
2011-01-24 18:37 . 2011-01-24 18:37        --------        d-----w-        c:\users\Spirit\AppData\Local\ESET
2011-01-24 14:59 . 2011-01-24 14:59        98392        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys
2011-01-24 14:56 . 2011-01-24 14:56        --------        d-----w-        c:\users\Spirit\AppData\Local\Sunbelt Software
2011-01-24 14:54 . 2011-01-24 14:54        --------        d-----w-        c:\program files\Lavasoft
2011-01-24 13:28 . 2011-01-13 08:41        357968        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2011-01-23 18:45 . 2011-01-24 17:28        --------        d-----w-        c:\programdata\Alwil Software
2011-01-23 17:19 . 2011-01-26 21:30        --------        d-----w-        c:\programdata\Spybot - Search & Destroy
2011-01-23 15:10 . 2011-01-23 15:10        79360        --sha-r-        c:\windows\system32\dwmredirz.dll
2011-01-22 17:49 . 1997-07-19 15:55        1347344        ----a-w-        c:\windows\system32\msvbvm50.dll
2011-01-17 17:55 . 2011-01-17 17:55        --------        d-----w-        c:\programdata\Messenger Plus!
2011-01-17 17:55 . 2011-01-17 17:55        --------        d-----w-        c:\program files\Messenger Plus! Live
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\program files\Microsoft
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\program files\Windows Live SkyDrive
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\program files\Windows Live
2011-01-17 17:53 . 2011-01-17 17:53        --------        d-----w-        c:\windows\PCHEALTH
2011-01-11 20:34 . 2011-01-11 20:34        --------        d-----w-        c:\program files\TeamViewer
2011-01-10 22:04 . 2011-01-11 15:06        --------        d-----w-        c:\users\Spirit\AppData\Roaming\skypePM
2011-01-10 22:03 . 2011-01-10 22:03        --------        d-----w-        c:\program files\Common Files\Skype
2011-01-10 22:02 . 2011-01-11 20:47        --------        d-----w-        c:\users\Spirit\AppData\Roaming\Skype
2011-01-10 22:02 . 2011-01-10 22:02        --------        d-----w-        c:\programdata\Skype
2011-01-07 17:32 . 2011-01-10 23:28        270240        ----a-w-        c:\windows\system32\PnkBstrB.xtr
2011-01-07 17:30 . 2011-01-07 17:30        --------        d-----w-        c:\users\Spirit\AppData\Local\PunkBuster
2011-01-07 17:28 . 2011-01-10 23:28        139080        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-01-07 17:28 . 2011-01-07 17:28        138056        ----a-w-        c:\users\Spirit\AppData\Roaming\PnkBstrK.sys
2011-01-07 17:27 . 2011-01-10 23:28        270240        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-01-07 17:27 . 2011-01-10 23:21        270240        ----a-w-        c:\windows\system32\PnkBstrB.ex0
2011-01-07 17:27 . 2011-01-07 17:27        75136        ----a-w-        c:\windows\system32\PnkBstrA.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-12 00:44 . 2010-11-12 00:44        94208        ----a-w-        c:\windows\system32\dpl100.dll
2010-11-08 22:57 . 2010-11-08 22:57        353592        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NextSTART"="d:\programme\Winstep\nextstart.exe" [2010-10-13 7262848]
"WorkShelf"="d:\programme\Winstep\WorkShelf.exe" [2010-10-13 15274112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="d:\programme\ESET\Smart Security\egui.exe" [2010-11-04 2219184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
2010-12-20 17:08        963976        ----a-w-        d:\programme\Malwarebytes' Anti-Malware\mbam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"DivX Download Manager"="c:\program files\DivX\DivX Plus Web Player\DDmService.exe" start
"Windows Mobile Device Center"=%windir%\WindowsMobile\wmdc.exe

R1 aswSnx;aswSnx; [x]
R3 CFcatchme;CFcatchme;c:\users\Spirit\AppData\Local\Temp\CFcatchme.sys [x]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712]
R3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\DRIVERS\sscebus.sys [2010-04-27 98560]
R3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\DRIVERS\sscemdfl.sys [2010-04-27 14848]
R3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\DRIVERS\sscemdm.sys [2010-04-27 123648]
R3 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2010-12-07 2228008]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-25 691696]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2010-07-29 115008]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2010-09-09 95568]
S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [2010-09-03 137144]
S2 ekrn;ESET Service;d:\programme\ESET\Smart Security\ekrn.exe [2010-11-04 810144]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [2010-07-29 41336]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-07-26 217088]
S2 Winstep Xtreme Service;Winstep Xtreme Service;d:\programme\Winstep\WsxService [x]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-09-09 18120]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-09-09 36640]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai        REG_MULTI_SZ          Akamai
WindowsMobile        REG_MULTI_SZ          wcescomm rapimgr
LocalServiceRestricted        REG_MULTI_SZ          WcesComm RapiMgr
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Spirit\AppData\Roaming\Mozilla\Firefox\Profiles\6k6sjex9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2843456&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Noia 2.0 (eXtreme): {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} - %profile%\extensions\{9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Noia 2.0 eXtreme OPT: noia2_option@kk.noia - %profile%\extensions\noia2_option@kk.noia
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files\DivX\DivX Plus Web Player\firefox\wpa
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winstep Xtreme Service]
"ImagePath"="d:\programme\Winstep\WsxService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\taskhost.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\sppsvc.exe
d:\programme\Winstep\WsxService.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\taskhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-27  10:08:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-27 09:08

Vor Suchlauf: 9 Verzeichnis(se), 14.246.072.320 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 14.012.616.704 Bytes frei

- - End Of File - - C6ACD880878267ED3870D6EAD9539A84
Entschuldige mein übereiltes posten, nach einem weiterem Neustart verrichtet der Firefox wieder seinen Dienst

cosinus 27.01.2011 11:14
Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Schnupsi 27.01.2011 11:43
Datei: Qoobox.rar empfangen

Vorgang erfolgreich abgeschlossen.


Oh ich sehe gerade du verlangtest eine Zip Datei, ich hoffe eine .rar geht auch ok?

cosinus 27.01.2011 11:58
Ist schon ok. Ich hab sie bekommen und schau mal kurz rein.

Du kannst in der Zwischenzeiot weitermachen:

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Schnupsi 27.01.2011 14:26
Soooo....


Gmer

Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-27 14:15:28
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST3160815AS rev.4.AAB
Running: shrje9o2.exe; Driver: C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                                    82C80599 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                              82CA4F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
?              System32\Drivers\spol.sys                                                                                          Das System kann den angegebenen Pfad nicht finden. !
PAGE            ataport.SYS!DllUnload + 1                                                                                          8AEA7AD7 4 Bytes  JMP 854971D9
.text          C:\Windows\system32\DRIVERS\atikmdag.sys                                                                            section is writeable [0x90C2B000, 0x267978, 0xE8000020]
.text          USBPORT.SYS!DllUnload                                                                                              91456CA0 5 Bytes  JMP 865924E0
.text          a1vq0k3e.SYS                                                                                                        914CE000 12 Bytes  [44, B8, C0, 82, EE, B6, C0, ...]
.text          a1vq0k3e.SYS                                                                                                        914CE00D 9 Bytes  [97, C0, 82, 48, BB, C0, 82, ...]
.text          a1vq0k3e.SYS                                                                                                        914CE017 170 Bytes  [00, DE, 27, D2, 8A, E6, 25, ...]
.text          a1vq0k3e.SYS                                                                                                        914CE0C3 8 Bytes  [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
.text          a1vq0k3e.SYS                                                                                                        914CE0CE 4 Bytes  [00, 00, 00, 00] {ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                               

---- User code sections - GMER 1.0.15 ----

.text          D:\Programme\ESET\Smart Security\ekrn.exe[2556] kernel32.dll!SetUnhandledExceptionFilter                            75993162 4 Bytes  [C2, 04, 00, 00]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                            [8AC26042] \SystemRoot\System32\Drivers\spol.sys
IAT            \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                          [8AC266D6] \SystemRoot\System32\Drivers\spol.sys
IAT            \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                    [8AC26800] \SystemRoot\System32\Drivers\spol.sys
IAT            \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                    [8AC2613E] \SystemRoot\System32\Drivers\spol.sys
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortNotification]                                          00147880
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortQuerySystemTime]                                      78800C75
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReadPortUchar]                                        06750015
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortStallExecution]                                        C25DC033
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortUchar]                                        458B0008
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortUlong]                                        6A006A08
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetPhysicalAddress]                                    50056A24
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong]                        005AB7E8
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetScatterGatherList]                                  0001B800
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetParentBusType]                                      C25D0000
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortRequestCallback]                                      CCCC0008
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortBufferUshort]                                CCCCCCCC
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetUnCachedExtension]                                  CCCCCCCC
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCompleteRequest]                                      CCCCCCCC
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCopyMemory]                                            53EC8B55
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortEtwTraceLog]                                          800C5D8B
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests]                            7500117B
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb]                                127B806A
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb]                                  80647500
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReadPortBufferUshort]                                  7500137B
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortInitialize]                                            157B805E
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetDeviceBase]                                        56587500
IAT            \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortDeviceStateChange]                                    8008758B

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              8549D1F8
Device          \Driver\volmgr \Device\VolMgrControl                                                                                854991F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{A2D2733D-A666-4CAE-A21D-38F83BFA0264}                                            864D51F8
Device          \Driver\usbohci \Device\USBPDO-0                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBPDO-1                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBPDO-2                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBPDO-3                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBPDO-4                                                                                    865A91F8
Device          \Driver\usbehci \Device\USBPDO-5                                                                                    865A8500
Device          \Driver\PCI_PNP1003 \Device\00000062                                                                                spol.sys
Device          \Driver\volmgr \Device\HarddiskVolume1                                                                              854991F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\volmgr \Device\HarddiskVolume2                                                                              854991F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\cdrom \Device\CdRom0                                                                                        863A21F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0                                                                        8549B1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3                                                                        8549B1F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  8549B1F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  8549B1F8
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                  8549B1F8
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                  8549B1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-6                                                                        8549B1F8
Device          \Driver\cdrom \Device\CdRom1                                                                                        863A21F8
Device          \Driver\cdrom \Device\CdRom2                                                                                        863A21F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                            864D51F8
Device          \Driver\ACPI_HAL \Device\0000005b                                                                                  halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device          \Driver\sptd \Device\1037387005                                                                                    spol.sys
Device          \Driver\usbohci \Device\USBFDO-0                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBFDO-1                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBFDO-2                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBFDO-3                                                                                    865A91F8
Device          \Driver\usbohci \Device\USBFDO-4                                                                                    865A91F8
Device          \Driver\usbehci \Device\USBFDO-5                                                                                    865A8500
Device          \Driver\a1vq0k3e \Device\Scsi\a1vq0k3e1Port4Path0Target0Lun0                                                        8663F500
Device          \Driver\a1vq0k3e \Device\Scsi\a1vq0k3e1                                                                            8663F500

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                  771343423
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                  285507792
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0                                                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                   
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                D:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                0
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0xDE 0x33 0x93 0x39 ...
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                         
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                    0xD2 0xA0 0x5B 0x91 ...
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                     
Reg            HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x3D 0x11 0x29 0x0F ...
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                    D:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                    0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                    0
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0xDE 0x33 0x93 0x39 ...
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)     
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                        0xD2 0xA0 0x5B 0x91 ...
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x3D 0x11 0x29 0x0F ...

---- EOF - GMER 1.0.15 ----

OSAM

Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:20:38 on 27.01.2011

OS: Windows 7 Ultimate Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a1vq0k3e" (a1vq0k3e) - "Microsoft Corporation" - C:\Windows\system32\drivers\a1vq0k3e.sys  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\Windows\System32\Drivers\usbaapl.sys
"ASPI32" (ASPI32) - ? - C:\Windows\system32\drivers\ASPI32.sys  (File not found)
"aswSnx" (aswSnx) - "AVAST Software" - C:\Windows\system32\drivers\aswSnx.sys
"catchme" (catchme) - ? - C:\Users\Spirit\AppData\Local\Temp\catchme.sys  (File not found)
"CFcatchme" (CFcatchme) - ? - C:\Users\Spirit\AppData\Local\Temp\CFcatchme.sys  (File not found)
"dgderdrv" (dgderdrv) - "Devguru Co., Ltd" - C:\Windows\System32\drivers\dgderdrv.sys
"EagleNT" (EagleNT) - ? - C:\Windows\system32\drivers\EagleNT.sys  (File not found)
"FsUsbExDisk" (FsUsbExDisk) - ? - C:\Windows\system32\FsUsbExDisk.SYS  (File found, but it contains no detailed information)
"pgryqpob" (pgryqpob) - ? - C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys  (Hidden registry entry, rootkit activity | File not found)
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler )-----
{E31004D1-A431-41B8-826F-E902F9D95C81} "Windows DreamScene" - "Microsoft Corporation" - C:\Windows\System32\DreamScene.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll
{B089FE88-FB52-11D3-BDF1-0050DA34150D} "ESET Smart Security - Context Menu Shell Extension" - "ESET" - D:\Programme\ESET\Smart Security\shellExt.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{ACBA0BA3-ACED-4E02-9221-794F7588DD9C} "MP3Ext Class" - "TODO: <Company name>" - D:\Programme\All To MP3 Converter\MP3ShellExt.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{593DDEC6-7468-4cdd-90E1-42DADAA222E9} "DivX HiQ" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
{326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"egui" - "ESET" - "D:\Programme\ESET\Smart Security\egui.exe" /hide /waitservice

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Akamai NetSession Interface" (Akamai) - ? - c:\program files\common files\akamai\netsession_win_dbc0250.dll  (File found, but it contains no detailed information)
"Ati External Event Utility" (Ati External Event Utility) - ? - C:\Windows\system32\Ati2evxx.exe  (File not found)
"Device Error Recovery Service" (dgdersvc) - "Devguru Co., Ltd." - C:\Windows\system32\dgdersvc.exe
"ESET HTTP Server" (EhttpSrv) - "ESET" - D:\Programme\ESET\Smart Security\EHttpSrv.exe
"ESET Service" (ekrn) - "ESET" - D:\Programme\ESET\Smart Security\ekrn.exe
"FsUsbExService" (FsUsbExService) - "Teruten" - C:\Windows\system32\FsUsbExService.Exe
"nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\Windows\system32\GameMon.des
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"TeamViewer 6" (TeamViewer6) - "TeamViewer GmbH" - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
"Winstep Xtreme Service" (Winstep Xtreme Service) - "Winstep Software Technologies" - D:\Programme\Winstep\WsxService.exe

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - ? - none  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows 7 Ultimate Edition
Windows Information:                (build 7600), 32-bit
Base Board Manufacturer:        FOXCONN
BIOS Manufacturer:                American Megatrends Inc.
System Manufacturer:                FOXCONN
System Product Name:                A6VMX
Logical Drives Mask:                0x0000007c

Kernel Drivers (total 200):
  0x82C3D000 \SystemRoot\system32\ntkrnlpa.exe
  0x82C06000 \SystemRoot\system32\halmacpi.dll
  0x80BD4000 \SystemRoot\system32\kdcom.dll
  0x8323B000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x83246000 \SystemRoot\system32\PSHED.dll
  0x83257000 \SystemRoot\system32\BOOTVID.dll
  0x8325F000 \SystemRoot\system32\CLFS.SYS
  0x832A1000 \SystemRoot\system32\CI.dll
  0x8334C000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x833BD000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x8AC24000 \SystemRoot\System32\Drivers\spol.sys
  0x8AD17000 \SystemRoot\System32\Drivers\WMILIB.SYS
  0x8AD20000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
  0x8AD46000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8AD8E000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8AD96000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x8ADA1000 \SystemRoot\system32\DRIVERS\pci.sys
  0x8ADCB000 \SystemRoot\System32\drivers\partmgr.sys
  0x8ADDC000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x8ADE4000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x8ADEF000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x8AE13000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8AE5E000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x8AE65000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x8AE73000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8AE89000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x8AE92000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x8AEB5000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x8AEBE000 \SystemRoot\system32\drivers\fltmgr.sys
  0x8AEF2000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8B018000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8B147000 \SystemRoot\System32\Drivers\msrpc.sys
  0x8B172000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8B185000 \SystemRoot\System32\Drivers\cng.sys
  0x8B1E2000 \SystemRoot\System32\drivers\pcw.sys
  0x8B1F0000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8AF03000 \SystemRoot\system32\drivers\ndis.sys
  0x8AFBA000 \SystemRoot\system32\drivers\NETIO.SYS
  0x833CB000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8B221000 \SystemRoot\System32\drivers\tcpip.sys
  0x8B36A000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8B39B000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x8B3A4000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x8B3E3000 \SystemRoot\System32\Drivers\spldr.sys
  0x83200000 \SystemRoot\System32\drivers\rdyboost.sys
  0x8B3EB000 \SystemRoot\System32\Drivers\mup.sys
  0x8B200000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x8B435000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x8B467000 \SystemRoot\system32\DRIVERS\disk.sys
  0x8B478000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x8B4CF000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8B54A000 \SystemRoot\System32\Drivers\Null.SYS
  0x8B551000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8B558000 \SystemRoot\system32\DRIVERS\ehdrv.sys
  0x8B577000 \SystemRoot\System32\drivers\vga.sys
  0x8B583000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8B5A4000 \SystemRoot\System32\drivers\watchdog.sys
  0x8B5B1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8B5B9000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8B5C1000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x8B5C9000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8B5D4000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8B5E2000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8B400000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8B4EE000 \SystemRoot\system32\drivers\afd.sys
  0x90224000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x90256000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x9025D000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x9027C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x9028A000 \SystemRoot\system32\DRIVERS\serial.sys
  0x902A4000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x902B7000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x902C7000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x90308000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x90312000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x9031C000 \SystemRoot\System32\drivers\discache.sys
  0x90328000 \SystemRoot\system32\drivers\csc.sys
  0x9038C000 \SystemRoot\System32\Drivers\dfsc.sys
  0x903A4000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x903B2000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x903D3000 \SystemRoot\system32\DRIVERS\amdk8.sys
  0x90C2A000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x910BB000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x91172000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x911AB000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x911D0000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x91432000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x9147D000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x9148C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x914AB000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x914B5000 \SystemRoot\system32\DRIVERS\parport.sys
  0x914CD000 \SystemRoot\System32\Drivers\a1vq0k3e.SYS
  0x91506000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x9151E000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x91530000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x91548000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x91553000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x91575000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x9158D000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x915A4000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x915BB000 \SystemRoot\system32\DRIVERS\rdpbus.sys
  0x915C5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x915D2000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x915DF000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x95012000 \SystemRoot\system32\DRIVERS\ks.sys
  0x95046000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x95054000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x95098000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x950A9000 \SystemRoot\system32\drivers\HdAudio.sys
  0x950F9000 \SystemRoot\system32\drivers\portcls.sys
  0x95128000 \SystemRoot\system32\drivers\drmk.sys
  0x96C90000 \SystemRoot\System32\win32k.sys
  0x95141000 \SystemRoot\System32\drivers\Dxapi.sys
  0x9514B000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x95158000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x95163000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x9516C000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x9517D000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x96EF0000 \SystemRoot\System32\TSDDD.dll
  0x96F20000 \SystemRoot\System32\cdd.dll
  0x95188000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x9519F000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x951A1000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x951AC000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x951BF000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x951C6000 \SystemRoot\system32\DRIVERS\KMWDFILTER.sys
  0x951CF000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x951DB000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x915E1000 \SystemRoot\system32\drivers\luafv.sys
  0x8201F000 \SystemRoot\system32\DRIVERS\eamonm.sys
  0x820C5000 \SystemRoot\system32\drivers\WudfPf.sys
  0x820DF000 \SystemRoot\system32\DRIVERS\epfw.sys
  0x82101000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x82111000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x82157000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x82167000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x8217A000 \SystemRoot\system32\drivers\HTTP.sys
  0x82000000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x951E6000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x91400000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x9C224000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9C25F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9C27A000 \SystemRoot\system32\DRIVERS\parvdm.sys
  0x9C28F000 \SystemRoot\system32\drivers\peauth.sys
  0x9C326000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x9C330000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9C351000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x9C35E000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9C3AD000 \SystemRoot\System32\DRIVERS\srv.sys
  0x98896000 \SystemRoot\System32\drivers\rdpdr.sys
  0x988BB000 \SystemRoot\system32\drivers\tdtcp.sys
  0x988C5000 \SystemRoot\System32\DRIVERS\tssecsrv.sys
  0x988D2000 \SystemRoot\System32\Drivers\RDPWD.SYS
  0x98903000 \??\C:\Windows\system32\FsUsbExDisk.SYS
  0x9890C000 \SystemRoot\System32\drivers\dgderdrv.sys
  0x9890F000 \SystemRoot\System32\Drivers\ov519vid.sys
  0x98938000 \SystemRoot\System32\Drivers\STREAM.SYS
  0x98946000 \SystemRoot\System32\Drivers\ov519cmd.sys
  0x9894C000 \SystemRoot\system32\drivers\usbaudio.sys
  0x98960000 \??\C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys
  0x771E0000 \Windows\System32\ntdll.dll
  0x48560000 \Windows\System32\smss.exe
  0x77420000 \Windows\System32\apisetschema.dll
  0x10000000 \Programme\DAEMON Tools Lite\Engine.dll
  0x00FD0000 \Windows\System32\autochk.exe
  0x770A0000 \Windows\System32\urlmon.dll
  0x77400000 \Windows\System32\psapi.dll
  0x773F0000 \Windows\System32\nsi.dll
  0x77340000 \Windows\System32\msvcrt.dll
  0x77320000 \Windows\System32\imm32.dll
  0x76F00000 \Windows\System32\setupapi.dll
  0x76E00000 \Windows\System32\wininet.dll
  0x76CA0000 \Windows\System32\ole32.dll
  0x76C50000 \Windows\System32\gdi32.dll
  0x76C00000 \Windows\System32\Wldap32.dll
  0x76B80000 \Windows\System32\comdlg32.dll
  0x76980000 \Windows\System32\iertutil.dll
  0x76940000 \Windows\System32\ws2_32.dll
  0x76870000 \Windows\System32\msctf.dll
  0x76810000 \Windows\System32\shlwapi.dll
  0x75BC0000 \Windows\System32\shell32.dll
  0x75BB0000 \Windows\System32\normaliz.dll
  0x75B10000 \Windows\System32\usp10.dll
  0x75AE0000 \Windows\System32\imagehlp.dll
  0x75AC0000 \Windows\System32\sechost.dll
  0x75A30000 \Windows\System32\oleaut32.dll
  0x75A20000 \Windows\System32\lpk.dll
  0x75940000 \Windows\System32\kernel32.dll
  0x758A0000 \Windows\System32\advapi32.dll
  0x75840000 \Windows\System32\difxapi.dll
  0x757B0000 \Windows\System32\clbcatq.dll
  0x75700000 \Windows\System32\rpcrt4.dll
  0x75630000 \Windows\System32\user32.dll
  0x755E0000 \Windows\System32\KernelBase.dll
  0x755B0000 \Windows\System32\wintrust.dll
  0x75590000 \Windows\System32\devobj.dll
  0x75470000 \Windows\System32\crypt32.dll
  0x753E0000 \Windows\System32\comctl32.dll
  0x753B0000 \Windows\System32\cfgmgr32.dll
  0x753A0000 \Windows\System32\msasn1.dll

Processes (total 38):
      0 System Idle Process
      4 SYSTEM
    244 C:\Windows\System32\smss.exe
    340 csrss.exe
    416 C:\Windows\System32\wininit.exe
    424 csrss.exe
    480 C:\Windows\System32\winlogon.exe
    508 C:\Windows\System32\services.exe
    528 C:\Windows\System32\lsass.exe
    536 C:\Windows\System32\lsm.exe
    648 C:\Windows\System32\svchost.exe
    708 C:\Windows\System32\svchost.exe
    756 C:\Windows\System32\svchost.exe
    832 C:\Windows\System32\svchost.exe
    868 C:\Windows\System32\svchost.exe
    1080 C:\Windows\System32\svchost.exe
    1204 C:\Windows\System32\svchost.exe
    1336 C:\Windows\System32\spoolsv.exe
    1372 C:\Windows\System32\svchost.exe
    1476 C:\Windows\System32\taskhost.exe
    1576 C:\Windows\System32\svchost.exe
    1584 C:\Windows\System32\dwm.exe
    1604 C:\Windows\explorer.exe
    1660 C:\Windows\System32\dgdersvc.exe
    2024 C:\Windows\System32\svchost.exe
    100 C:\Windows\System32\FsUsbExService.Exe
    288 C:\Windows\System32\PnkBstrA.exe
    1116 C:\Windows\System32\svchost.exe
    2680 C:\Windows\System32\svchost.exe
    2852 C:\Program Files\Windows Media Player\wmpnetwk.exe
    3428 C:\Windows\System32\svchost.exe
    3160 C:\Windows\System32\svchost.exe
    2556 D:\Programme\ESET\Smart Security\ekrn.exe
    1976 C:\Windows\System32\audiodg.exe
    3016 C:\Program Files\Mozilla Firefox\firefox.exe
    1568 C:\Users\Spirit\Desktop\MBRCheck.exe
    2096 C:\Windows\System32\conhost.exe
    2896 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`52c65e00  (NTFS)

PhysicalDrive0 Model Number: ST3160815AS, Rev: 4.AAB 

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Nur so aus Neugier, sind wir denn bald durch? :)

cosinus 27.01.2011 14:58
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Schnupsi 27.01.2011 18:56
So ich hoffe das war alles


Malwarebytes

[CODE]Malwarebytes

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5618

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

27.01.2011 17:01:01
mbam-log-2011-01-27 (17-01-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 245254
Laufzeit: 25 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SASW

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/27/2011 at 06:24 PM

Application Version : 4.48.1000

Core Rules Database Version : 6287
Trace Rules Database Version: 4099

Scan type      : Complete Scan
Total Scan Time : 00:51:46

Memory items scanned      : 691
Memory threats detected  : 0
Registry items scanned    : 8465
Registry threats detected : 0
File items scanned        : 101404
File threats detected    : 10

Adware.Tracking Cookie
        C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@atdmt.combing[2].txt
        C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@tradedoubler[2].txt
        C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@apmebf[1].txt
        C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@atdmt[1].txt
        C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@mediaplex[2].txt

Trojan.Agent/Gen-Nullo[Short]
        C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\BMO.DLL.VIR
        C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\BOMBERMAN.EXE.VIR
        C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\EPMNTDRV.SYS.VIR
        C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\EUGDIDRV.SYS.VIR
        C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\_LAUNCH.EXE.VIR

cosinus 27.01.2011 19:41
Sieht gut aus. Nur Überreste und Cookies.
Noch Probleme?

Schnupsi 27.01.2011 21:46
Nein, alles soweit in Ordnung. Das Wartungscenter meldet auch: Keine aktuellen Probleme erkannt.

Im Gegenteil, wie du dir sicher denken kannst läuft mein System gefühlt auch wieder wie frisch installiert. :)


Vielen Dank, ich werde auf jeden Fall das Board weiter empfehlen.

:dankeschoen:

cosinus 27.01.2011 21:50
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:34 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131