Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Kazy.mekmel.1 - ich hab ihn auch (https://www.trojaner-board.de/97989-tr-kazy-mekmel-1-hab-ihn.html)

Jan-0815 23.04.2011 15:53
TR/Kazy.mekmel.1 - ich hab ihn auch
 
Hallo liebe Community!

Als Virenbekämpfer-Neuling brauch ich eure Hilfe!

Ich hab mir vor ein paar Tagen offenbar diesen Trojaner eingefangen. Die Symptome sind:
  • Der Ordner "Eigene Dateien" (bei mir heißt der wie ich "Jan") sieht auf den ersten Blick leer aus, obwohl er laut Eigenschaften diverse GB Platz belegt.
  • Das gleiche gilt für die Festplattenpartition "F". Das Verzeichnis sieht leer aus, ist aber mit 14 GB belegt. Das auf dieser Partition installierte Spiel "Pro Evolution Soccer" lässt sich über die CD problemlos starten. Nur das Speichern von Zwischenständen hat Fehlermeldungen zur Folge.

AntiVir meldete zwei Trojaner:
  • TR/Kazy.mekmel.1
  • TR/FakeSysdef.A.429

Ich habe Malwarebytes-Anti-Malware und OTL laufen lassen. Die entsprechenden Reports hab ich angehängt.

Während des Scans durch Malwarebytes meldete sich AntiVir erneut:
  • TR/Crypt.XPACK.Gen3

Ich hoffe, Ihr könnt mir helfen. Vielen Dank schonmal im Vorraus!

Grüße, Jan.

cosinus 25.04.2011 15:15
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Jan-0815 26.04.2011 18:40
Hallo und vielen Dank für die erste Antwort :)

Ich hatte gestern nochmal die ganze Prozedur durchgespielt, diesmal mit malwarebytes-Vollscan (vorher auch aktualisiert). Die Log-Files von gestern hab ich angehängt. Die alten (vom 23.04.) sind ja in meinem ersten Post. Ich hoffe, damit kannst du/könnt ihr was anfangen. :wtf:

Meine anderen Aktivitäten:

Ich habe zwischenzeitlich die "verschwundenen" Ordner und Dateien wieder sichtbar gemacht, allerdings ohne Hilfsprogramm, sondern "zu Fuß" über die Ordneroptionen.

Aviras AntiVir hat sich regulär geupdatet.

Beim PC-Start gerade eben kam eine Meldung, das der Autostart von Malwarebytes geblockt wurde. Muss ich da irgendwas ändern?

Grüße, Jan.

cosinus 26.04.2011 19:09
Bitte umgehend ZoneAlarm deinstallieren, das Teil ist sinnlos bis kontraproduktiv - verwende die Windows-Firewall. Mach danach frische OTL-Logs.

Jan-0815 26.04.2011 19:30
Sooo... ZoneAlarm deinstalliert, Neustart und Windows-Firewall aktiviert.

Frische OTLs siehe unten :)

cosinus 26.04.2011 19:34
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\Shell\AutoRun\command - "" = G:\autorun.exe
O33 - MountPoints2\{61126848-1eeb-11df-a4b0-001a4d5a161e}\Shell\AutoRun\command - "" = H:\Toshiba\more4you.exe
:Files
C:\ProgramData\4*
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Jan-0815 26.04.2011 21:18
OTL Fix ausgeführt.
Beim ersten Versuch stürzte das Programm nach längerer Zeit ab.
"... hat ein Problem verursacht. Online nach Lösung suchen oder Schließen..."
Programm geschlossen. Der Bildschirm blieb schwarz, so hab ich den Rechner über den Task-Manager neugestartet, und OTL Fix ein zweites Mal ausgeführt. Diesmal gings sehr schnell.

Im Ordner ".../_OTL/Moved Files" sind zwei Unterordner:
- 04262011_213558
- 04262011_215457

Eine Log-File zum ersten Versuch (Ordner 04262011_213558) existiert leider nicht.
Der Inhalt sieht so aus:
.../C/"autoexec"
.../C_ProgramData/"46522120"
.../C_Windows/System32/drivers/etc/"hosts"

Der Inhalt des zweiten Versuchs (Ordner 04262011_215457):
.../C_Windows/System32/drivers/etc/"hosts"

Log-File des zweiten Versuchs:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{025e9fae-c155-11dc-b7d9-806e6f6e6963}\ not found.
File G:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{61126848-1eeb-11df-a4b0-001a4d5a161e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61126848-1eeb-11df-a4b0-001a4d5a161e}\ not found.
File H:\Toshiba\more4you.exe not found.
========== FILES ==========
File\Folder C:\ProgramData\4* not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Jan
->Temp folder emptied: 53408 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7533481 bytes
->Flash cache emptied: 456 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 60805 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 7,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04262011_215457

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 27.04.2011 10:19
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Jan-0815 27.04.2011 20:15
Gesagt, getan...
Habe das Tool von Kaspersky installiert und ausgeführt. Offensichtlich hat das Ding nix gefunden (Log siehe unten).

Dann habe ich mit der unhide.exe alles wieder sichtbar gemacht.

Schließlich habe ich (wie in dem verlinkten Kaspersky-Thread beschrieben) Malwarebytes nochmal seine Arbeit (Vollscan) machen lassen. Ergebnis: auch nix (Log siehe unten).

Ich hoffe, die Reihenfolge war richtig :wtf:

cosinus 28.04.2011 09:34
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Jan-0815 28.04.2011 16:45
So...

Habe ComboFix auf den Desktop heruntergeladen und in cofix umbenannt.

Habe dann CCleaner heruntergeladen, installiert und ausgeführt.

Habe dann alles geschlossen und cofix arbeiten lassen.

Ergebnis:

Combofix Logfile:
Code:
ComboFix 11-04-27.03 - Jan 28.04.2011  17:29:43.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.2046.1348 [GMT 2:00]
ausgeführt von:: c:\users\Jan\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Windows Live Messenger .lnk
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-28 bis 2011-04-28  ))))))))))))))))))))))))))))))
.
.
2011-04-28 15:35 . 2011-04-28 15:35        --------        d-----w-        c:\users\Jan\AppData\Local\temp
2011-04-28 15:35 . 2011-04-28 15:35        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-04-28 15:19 . 2011-04-28 15:19        --------        d-----w-        c:\program files\CCleaner
2011-04-26 19:35 . 2011-04-26 19:35        --------        d-----w-        C:\_OTL
2011-04-26 18:18 . 2011-04-26 18:18        --------        d-----w-        c:\windows\Internet Logs
2011-04-26 17:14 . 2011-04-11 07:04        7071056        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{B793D28C-3B97-4640-B80B-B3AA87C414E7}\mpengine.dll
2011-04-23 13:52 . 2011-04-23 13:52        --------        d-----w-        c:\users\Jan\AppData\Roaming\Malwarebytes
2011-04-23 13:52 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-23 13:51 . 2011-04-23 13:51        --------        d-----w-        c:\programdata\Malwarebytes
2011-04-23 13:51 . 2011-04-23 13:52        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2011-04-23 13:51 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 13:58 . 2009-03-20 18:23        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-02-22 14:13 . 2011-03-24 15:25        288768        ----a-w-        c:\windows\system32\XpsGdiConverter.dll
2011-02-22 13:33 . 2011-03-24 15:25        1068544        ----a-w-        c:\windows\system32\DWrite.dll
2011-02-22 13:33 . 2011-03-24 15:25        797696        ----a-w-        c:\windows\system32\FntCache.dll
2011-02-18 16:28 . 2010-08-11 21:32        46592        ----a-w-        c:\windows\system32\vsutil_loc0407.dll
2011-02-02 20:40 . 2010-05-24 10:49        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-02-02 16:11 . 2009-10-03 12:21        222080        ------w-        c:\windows\system32\MpSigStub.exe
2009-01-21 13:24 . 2009-01-21 13:24        26443776        ----a-w-        c:\program files\Arcor Wlan-Monitor 1.0.msi
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-10-11 4702208]
"Skytel"="Skytel.exe" [2007-10-11 1826816]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-12-20 37376]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-05-18 1311312]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"FirewallOverride"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:\windows\system32\pr2ah4nc.exe svc [x]
R3 cpuz130;cpuz130;c:\users\Jan\AppData\Local\Temp\cpuz130\cpuz_x32.sys [x]
R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2008-01-19 21504]
R3 WN4501HLFIR(Arcor);Arcor-Easy Stick A 50 WLAN(Arcor);c:\windows\system32\DRIVERS\ARWUSB.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);c:\windows\system32\drivers\pe3ah4nc.sys [2007-05-18 64880]
S0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:\windows\system32\drivers\ps6ah4nc.sys [2007-05-18 55160]
S2 AAV UpdateService;AAV UpdateService;c:\program files\Common Files\AAV\aavus.exe [2007-10-04 122880]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile        REG_MULTI_SZ          wcescomm rapimgr
LocalServiceRestricted        REG_MULTI_SZ          WcesComm RapiMgr
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
nosGetPlusHelper        REG_MULTI_SZ          nosGetPlusHelper
bthsvcs        REG_MULTI_SZ          BthServ
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-28 c:\windows\Tasks\DMEPeriodicTask.job
- c:\program files\HP\Digital Imaging\bin\warrantyextension\HPPromo.exe [2009-06-16 06:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe
FF - ProfilePath - c:\users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\s99dhj0t.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://web.de/
FF - prefs.js: keyword.URL - hxxp://go.web.de/tb/mff_keyurl_search/?su=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: myBabylon English Toolbar: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - %profile%\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}
FF - Ext: WEB.DE Toolbar: toolbar@web.de - %profile%\extensions\toolbar@web.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
HKLM-Run-Babylon Client - c:\program files\Babylon\Babylon-Pro\Babylon.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-28 17:35
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{1cf3914d-f0c1-4376-a144-3b771146a2c0}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d020054
"Dhcpv6State"=dword:00000000
"NameServer"=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{c3201d9e-c480-493f-a265-e16a45e818f8}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:08001a4d
"Dhcpv6State"=dword:00000001
"NameServer"=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d90acd43-6331-4a54-af69-2439a8284c65}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
Zeit der Fertigstellung: 2011-04-28  17:38:02
ComboFix-quarantined-files.txt  2011-04-28 15:37
.
Vor Suchlauf: 10 Verzeichnis(se), 12.666.298.368 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 12.549.767.168 Bytes frei
.
- - End Of File - - 04A8428B615B69339A30618D878D750B
--- --- ---

cosinus 28.04.2011 18:50
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Jan-0815 28.04.2011 22:05
Alles ausgeführt, wie beschrieben:

GMER Logfile:
Code:
GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-04-28 22:47:13
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 SAMSUNG_HD250HJ rev.FH100-05
Running: huigo4rf.exe; Driver: C:\Users\Jan\AppData\Local\Temp\uwldypow.sys


---- Kernel code sections - GMER 1.0.15 ----

.xreloc  C:\Windows\system32\drivers\ps6ah4nc.sys                                                                                unknown last section [0x8072C000, 0x998, 0x40000040]

---- User IAT/EAT - GMER 1.0.15 ----

IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                                  [74097817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                                    [740EA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                                [7409BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]                          [7408F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                                    [740975E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                                [7408E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]                    [740C8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]                        [7409DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                                [7408FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                                [7408FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                                  [740871CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]                          [7411CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]                            [740BC8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                                [7408D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                                          [74086853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                                        [7408687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3108] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]                            [74092AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{1cf3914d-f0c1-4376-a144-3b771146a2c0}@Dhcpv6Iaid  218234964
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{1cf3914d-f0c1-4376-a144-3b771146a2c0}@Dhcpv6State  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{1cf3914d-f0c1-4376-a144-3b771146a2c0}@NameServer 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6Iaid  117445666
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6State  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{c3201d9e-c480-493f-a265-e16a45e818f8}@Dhcpv6Iaid  134224461
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{c3201d9e-c480-493f-a265-e16a45e818f8}@Dhcpv6State  1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{c3201d9e-c480-493f-a265-e16a45e818f8}@NameServer 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{d90acd43-6331-4a54-af69-2439a8284c65}@Dhcpv6Iaid  218103808
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{d90acd43-6331-4a54-af69-2439a8284c65}@Dhcpv6State  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6Iaid  100668450
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6State  0
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{1cf3914d-f0c1-4376-a144-3b771146a2c0}@Dhcpv6Iaid      218234964
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{1cf3914d-f0c1-4376-a144-3b771146a2c0}@Dhcpv6State      0
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{1cf3914d-f0c1-4376-a144-3b771146a2c0}@NameServer     
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6Iaid      117445666
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6State      0
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{c3201d9e-c480-493f-a265-e16a45e818f8}@Dhcpv6Iaid      134224461
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{c3201d9e-c480-493f-a265-e16a45e818f8}@Dhcpv6State      1
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{c3201d9e-c480-493f-a265-e16a45e818f8}@NameServer     
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{d90acd43-6331-4a54-af69-2439a8284c65}@Dhcpv6Iaid      218103808
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{d90acd43-6331-4a54-af69-2439a8284c65}@Dhcpv6State      0
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6Iaid      100668450
Reg      HKLM\SYSTEM\ControlSet027\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6State      0

---- EOF - GMER 1.0.15 ----
--- --- ---

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:54:58 on 28.04.2011

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.16

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"DMEPeriodicTask.job" - "Hewlett-Packard" - C:\Program Files\HP\Digital Imaging\bin\warrantyextension\HPPromo.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"PhysX.cpl" - ? - C:\Windows\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Arcor-Easy Stick A 50 WLAN(Arcor)" (WN4501HLFIR(Arcor)) - ? - C:\Windows\System32\DRIVERS\ARWUSB.sys  (File not found)
"atikmdag" (atikmdag) - "ATI Technologies Inc." - C:\Windows\System32\DRIVERS\atikmdag.sys
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Jan\AppData\Local\Temp\catchme.sys  (File not found)
"cpuz130" (cpuz130) - ? - C:\Users\Jan\AppData\Local\Temp\cpuz130\cpuz_x32.sys  (File not found)
"DiRT Environment Driver (pe3ah4nc)" (pe3ah4nc) - "CODEMASTERS" - C:\Windows\System32\drivers\pe3ah4nc.sys
"DiRT Synchronization Driver (ps6ah4nc)" (ps6ah4nc) - "CODEMASTERS" - C:\Windows\System32\drivers\ps6ah4nc.sys
"gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\Windows\gdrv.sys
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"PCASp50 NDIS Protocol Driver" (PCASp50) - ? - C:\Windows\System32\Drivers\PCASp50.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"uwldypow" (uwldypow) - ? - C:\Users\Jan\AppData\Local\Temp\uwldypow.sys  (Hidden registry entry, rootkit activity | File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{0561EC90-CE54-4f0c-9C55-E226110A740C} "{0561EC90-CE54-4f0c-9C55-E226110A740C}" - ? -  (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -  (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -  (File not found | COM-object registry key not found)
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\Windows\system32\nvcpl.dll
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -  (File not found | COM-object registry key not found)
{0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" - ? -  (File not found | COM-object registry key not found)
{5574006C-28F5-4a65-A28C-74DE6BFBE0BB} "Haali Matroska Shell Property Page" - ? -  (File not found | COM-object registry key not found)
{327669A0-59A7-4be9-B99E-1C9F3A57611A} "Haali Matroska Thumbnail Exctractor" - ? -  (File not found | COM-object registry key not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? -  (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech, Inc." - C:\Program Files\Logitech\SetPointP\kbcplext.dll
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? -  (File not found | COM-object registry key not found)
{3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} "NVIDIA CPL Context Menu Extension" - "NVIDIA Corporation" - C:\Windows\system32\nvshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\Windows\system32\nvcpl.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -  (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll  (File found, but it contains no detailed information)
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe
Logitech Setpoint Extension "{B9B9F083-2B04-452A-8691-83694AC1037B}" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{555D4D79-4BD2-4094-A395-CFC534424A05} "HP Smart Web Printing" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_bho.dll
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "PDFCreator Toolbar" - ? - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
<binary data> "{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "get_atlcom Class" - "NOS Microsystems Ltd." - C:\Windows\Downloaded Program Files\gp.ocx / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} "Java Plug-in 1.6.0_04" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10l.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\Windows\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
{DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Smart Web Printing ein- oder ausblenden" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
"ICQ7.4" - "ICQ, LLC." - C:\Program Files\ICQ7.4\ICQ.exe
"Translate this web page with Babylon" - ? - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} "PDFCreator Toolbar" - ? - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{C451C08A-EC37-45DF-AAAD-18B51AB5E837} "PDFCreator Toolbar Helper" - ? - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"HP Digital Imaging Monitor.lnk" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe  (Shortcut exists | File exists)
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"EvtMgr6" - "Logitech, Inc." - C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
"HP Software Update" - "Hewlett-Packard" - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
"WinampAgent" - ? - "C:\Program Files\Winamp\winampa.exe"  (File found, but it contains no detailed information)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"hpf3l70w.dll" - "Hewlett-Packard Company" - C:\Windows\system32\hpf3l70w.dll
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
"AAV UpdateService" (AAV UpdateService) - ? - C:\Program Files\Common Files\AAV\aavus.exe
"Ati External Event Utility" (Ati External Event Utility) - "ATI Technologies Inc." - C:\Windows\system32\Ati2evxx.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"DiRT Drivers Auto Removal (pr2ah4nc)" (pr2ah4nc) - "CODEMASTERS" - C:\Windows\system32\pr2ah4nc.exe
"getPlus(R) Helper 3004" (nosGetPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper_3004.dll
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Logitech Bluetooth Service" (LBTServ) - "Logitech, Inc." - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZinw12.dll
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\Windows\system32\nvvsvc.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZipm12.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Gigabyte Technology Co., Ltd.
BIOS Manufacturer: Award Software International, Inc.
System Manufacturer: Gigabyte Technology Co., Ltd.
System Product Name: P35-DS3R
Logical Drives Mask: 0x0000007d

Kernel Drivers (total 144):
0x82636000 \SystemRoot\system32\ntkrnlpa.exe
0x82603000 \SystemRoot\system32\hal.dll
0x80402000 \SystemRoot\system32\kdcom.dll
0x80409000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x80479000 \SystemRoot\system32\PSHED.dll
0x8048A000 \SystemRoot\system32\BOOTVID.dll
0x80492000 \SystemRoot\system32\CLFS.SYS
0x804D3000 \SystemRoot\system32\CI.dll
0x80605000 \SystemRoot\system32\drivers\Wdf01000.sys
0x80681000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8068E000 \SystemRoot\system32\drivers\acpi.sys
0x806D4000 \SystemRoot\system32\drivers\WMILIB.SYS
0x806DD000 \SystemRoot\system32\drivers\msisadrv.sys
0x806E5000 \SystemRoot\system32\drivers\pci.sys
0x8070C000 \SystemRoot\System32\drivers\partmgr.sys
0x8071B000 \SystemRoot\system32\drivers\ps6ah4nc.sys
0x8072D000 \SystemRoot\system32\drivers\volmgr.sys
0x8073C000 \SystemRoot\System32\drivers\volmgrx.sys
0x80786000 \SystemRoot\system32\drivers\pciide.sys
0x8078D000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8079B000 \SystemRoot\System32\drivers\mountmgr.sys
0x807AB000 \SystemRoot\system32\drivers\atapi.sys
0x807B3000 \SystemRoot\system32\drivers\ataport.SYS
0x805B3000 \SystemRoot\system32\drivers\fltmgr.sys
0x807D1000 \SystemRoot\system32\drivers\fileinfo.sys
0x8820B000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8827C000 \SystemRoot\system32\drivers\ndis.sys
0x88387000 \SystemRoot\system32\drivers\msrpc.sys
0x883B2000 \SystemRoot\system32\drivers\NETIO.SYS
0x88401000 \SystemRoot\System32\drivers\tcpip.sys
0x884EE000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8860C000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8871C000 \SystemRoot\system32\drivers\volsnap.sys
0x88755000 \SystemRoot\System32\Drivers\spldr.sys
0x8875D000 \SystemRoot\system32\drivers\pe3ah4nc.sys
0x88770000 \SystemRoot\System32\Drivers\mup.sys
0x8877F000 \SystemRoot\System32\drivers\ecache.sys
0x887A6000 \SystemRoot\system32\drivers\disk.sys
0x887B7000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x887D8000 \SystemRoot\system32\drivers\crcdisk.sys
0x88509000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x88514000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8851D000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8C005000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8CA83000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x8CA85000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8CB25000 \SystemRoot\System32\drivers\watchdog.sys
0x8CB31000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8CB3C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8CB7A000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8852C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8CB89000 \SystemRoot\system32\DRIVERS\Rtlh86.sys
0x8CBCA000 \SystemRoot\system32\DRIVERS\fdc.sys
0x8CBD5000 \SystemRoot\system32\DRIVERS\serial.sys
0x8CBEF000 \SystemRoot\system32\DRIVERS\serenum.sys
0x885B9000 \SystemRoot\system32\DRIVERS\parport.sys
0x885D1000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x885E4000 \SystemRoot\system32\DRIVERS\L8042mou.Sys
0x883ED000 \SystemRoot\system32\DRIVERS\LMouKE.Sys
0x885F2000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8CBF9000 \SystemRoot\system32\DRIVERS\L8042Kbd.sys
0x88200000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x807E1000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8CE07000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8CE36000 \SystemRoot\system32\DRIVERS\storport.sys
0x8CE77000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8CE82000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8CE99000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8CEA4000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8CEC7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8CED6000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8CEEA000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8CEFF000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8CF0F000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8CF11000 \SystemRoot\system32\DRIVERS\ks.sys
0x8CF3B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8CF45000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8CF52000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8CF87000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0x8CF91000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8D20E000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8CFA2000 \SystemRoot\system32\drivers\portcls.sys
0x8CFCF000 \SystemRoot\system32\drivers\drmk.sys
0x8D3EF000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x805E5000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8D3F8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x8D200000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8D202000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8CFF4000 \SystemRoot\System32\Drivers\Null.SYS
0x8CE00000 \SystemRoot\System32\Drivers\Beep.SYS
0x8D400000 \SystemRoot\System32\drivers\vga.sys
0x8D40C000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8D42D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8D435000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8D43D000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8D448000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8D456000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8D45F000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8D475000 \SystemRoot\system32\DRIVERS\smb.sys
0x8D489000 \SystemRoot\system32\drivers\afd.sys
0x8D4D1000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8D503000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8D519000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8D527000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8D53A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8D540000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8D57C000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8D586000 \SystemRoot\System32\Drivers\dfsc.sys
0x8D59D000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8D5C3000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8D5C5000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x8EC0A000 \SystemRoot\system32\DRIVERS\udfs.sys
0x8EC45000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8EC52000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x8EC5D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x95C80000 \SystemRoot\System32\win32k.sys
0x8EC65000 \SystemRoot\System32\drivers\Dxapi.sys
0x8EC6F000 \SystemRoot\system32\DRIVERS\monitor.sys
0x95EA0000 \SystemRoot\System32\TSDDD.dll
0x95EC0000 \SystemRoot\System32\cdd.dll
0x8EC7E000 \SystemRoot\system32\drivers\luafv.sys
0x8EC99000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8ECB6000 \SystemRoot\system32\drivers\spsys.sys
0x8ED66000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8ED76000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8EDA0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8EDAA000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8EDBD000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x9BC0D000 \SystemRoot\system32\drivers\HTTP.sys
0x9BC7A000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9BC97000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9BCB0000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9BCC5000 \SystemRoot\system32\drivers\mrxdav.sys
0x9BCE6000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9BD05000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9BD3E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9BD56000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9BD7E000 \SystemRoot\System32\DRIVERS\srv.sys
0x9BDCD000 \SystemRoot\system32\DRIVERS\parvdm.sys
0x9CE01000 \SystemRoot\system32\drivers\peauth.sys
0x9CEDF000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9CEE9000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9CEF5000 \??\C:\Users\Jan\AppData\Local\Temp\uwldypow.sys
0x77070000 \Windows\System32\ntdll.dll

Processes (total 62):
0 System Idle Process
4 System
432 C:\Windows\System32\smss.exe
564 csrss.exe
616 C:\Windows\System32\wininit.exe
624 csrss.exe
660 C:\Windows\System32\services.exe
676 C:\Windows\System32\lsass.exe
684 C:\Windows\System32\lsm.exe
760 C:\Windows\System32\winlogon.exe
860 C:\Windows\System32\svchost.exe
924 C:\Windows\System32\nvvsvc.exe
952 C:\Windows\System32\svchost.exe
1016 C:\Windows\System32\svchost.exe
1104 C:\Windows\System32\svchost.exe
1140 C:\Windows\System32\svchost.exe
1184 C:\Windows\System32\svchost.exe
1284 C:\Windows\System32\audiodg.exe
1308 C:\Windows\System32\svchost.exe
1328 C:\Windows\System32\SLsvc.exe
1372 C:\Windows\System32\svchost.exe
1432 C:\Windows\System32\nvvsvc.exe
1620 C:\Windows\System32\svchost.exe
1808 C:\Windows\System32\spoolsv.exe
1836 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1848 C:\Windows\System32\svchost.exe
372 C:\Program Files\Common Files\AAV\aavus.exe
476 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
572 C:\Windows\System32\svchost.exe
628 C:\Windows\System32\svchost.exe
848 C:\Windows\System32\svchost.exe
1716 C:\Windows\System32\svchost.exe
1944 C:\Windows\System32\svchost.exe
304 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1264 C:\Windows\System32\svchost.exe
2060 C:\Windows\System32\svchost.exe
2120 C:\Windows\System32\SearchIndexer.exe
2456 C:\Windows\System32\taskeng.exe
3024 C:\Windows\System32\dwm.exe
3032 C:\Windows\System32\taskeng.exe
3108 C:\Windows\explorer.exe
3172 C:\Windows\RtHDVCpl.exe
3188 C:\Program Files\Winamp\winampa.exe
3220 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3244 C:\Program Files\Logitech\SetPointP\SetPoint.exe
3276 C:\Program Files\HP\HP Software Update\hpwuschd2.exe
3300 C:\Windows\WindowsMobile\wmdc.exe
3316 C:\Program Files\Common Files\Java\Java Update\jusched.exe
3352 C:\Program Files\Windows Media Player\wmpnscfg.exe
3424 C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
3436 C:\Windows\System32\svchost.exe
3580 C:\Program Files\Windows Media Player\wmpnetwk.exe
3616 C:\Program Files\Common Files\Logishrd\KHAL3\KHALMNPR.exe
2712 C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
444 C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
2516 C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
2716 C:\Windows\System32\svchost.exe
1040 C:\Program Files\Mozilla Firefox\firefox.exe
3748 C:\Windows\System32\SearchProtocolHost.exe
2888 C:\Windows\System32\SearchFilterHost.exe
3412 C:\Users\Jan\Desktop\MBRCheck.exe
780 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`35100000 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000001a`db100000 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000029`81100000 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD250HJ, Rev: FH100-05

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

cosinus 29.04.2011 10:07
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Jan-0815 29.04.2011 22:12
Habe Malwarebytes und SUPERAntiSpyware für den Abend meinen PC überlassen. Das Ergebnis ihrer Arbeit: Nix gefunden!

Malwarebytes:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6472

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

29.04.2011 19:14:25
mbam-log-2011-04-29 (19-14-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 769805
Laufzeit: 1 Stunde(n), 59 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SUPERAntiSpyware:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/29/2011 bei 10:57 PM

Version der Applikation : 4.51.1000

Version der Kern-Datenbank : 6954
Version der Spur-Datenbank : 4766

Scan Art : kompletter Scann
Totale Scann-Zeit : 03:30:45

Gescannte Speicherelemente : 651
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 8023
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 626071
Erfasste Datei-Elemente : 0

Sieht für einen Laien wie mich schon gut aus :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:46 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131