Trojaner-Board - Deutsche Bank Trojaner c:\recycle.bin (Trojan.Spyeyes)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Deutsche Bank Trojaner c:\recycle.bin (Trojan.Spyeyes) (https://www.trojaner-board.de/99195-deutsche-bank-trojaner-c-recycle-trojan-spyeyes.html)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:

Code:

ComboFix 11-05-16.03 - Stefan 17.05.2011  15:57:51.1.2 - x86

ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\cofi.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-04-17 bis 2011-05-17  ))))))))))))))))))))))))))))))

.

.

2011-05-17 12:23 . 2011-05-17 12:23        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

2011-05-17 11:28 . 2011-05-17 11:28        --------        d-----w-        C:\_OTL

2011-05-17 08:39 . 2011-05-17 08:39        --------        d-----w-        c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes

2011-05-17 08:38 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-05-17 08:38 . 2011-05-17 08:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-05-17 08:38 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-05-16 17:55 . 2011-05-16 17:02        16432        ----a-w-        c:\windows\system32\lsdelete.exe

2011-05-16 17:02 . 2011-05-16 17:02        98392        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys

2011-05-16 16:52 . 2011-04-29 10:12        64512        ----a-w-        c:\windows\system32\drivers\Lbd.sys

2011-05-16 16:52 . 2011-05-16 16:52        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2011-05-16 16:52 . 2011-05-16 16:52        --------        d-----w-        c:\programme\Lavasoft

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-07 05:33 . 2009-12-24 14:06        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-03-04 06:36 . 2006-02-28 12:00        420864        ----a-w-        c:\windows\system32\vbscript.dll

2011-03-03 13:53 . 2006-02-28 12:00        1858048        ----a-w-        c:\windows\system32\win32k.sys

2011-02-22 23:05 . 2006-02-28 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2011-02-22 23:05 . 2006-02-28 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2011-02-22 23:05 . 2006-02-28 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2011-02-22 11:41 . 2006-02-28 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2011-02-17 13:18 . 2006-02-28 12:00        455936        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-02-17 13:18 . 2006-02-28 12:00        357888        ----a-w-        c:\windows\system32\drivers\srv.sys

2011-02-17 12:54 . 2008-05-05 06:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GAINWARD"="c:\programme\EXPERTool\TBPanel.exe" [2008-12-03 2181672]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"MFFSum_Pro_LL2"="c:\programme\Companion Suite Pro LL2\MFFSUM.exe" [2008-09-02 24576]

"MFPrintServer_Pro_LL2"="c:\programme\Companion Suite Pro LL2\MFPrintServer.exe" [2008-09-02 73728]

"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-11-13 29984]

"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-11-13 46368]

"IntelAudioStudio"="c:\programme\Intel Audio Studio\IntelAudioStudio.exe" [2006-04-19 9125888]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [16.05.2011 18:52 64512]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.12.2009 21:08 108289]

R2 MSSQL$JTLWAWI;SQL Server (JTLWAWI);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [10.02.2007 05:29 29178224]

R3 FaxLffv2;Companion Suite Pro LL2 Modem Driver;c:\windows\system32\drivers\FaxLffv2.sys [25.12.2009 19:19 18944]

R3 XMLDIUSB;XML USB Device Interface;c:\windows\system32\drivers\XMLDIUSB.sys [25.12.2009 19:19 33152]

S2 FUSServices;Session Launcher Service;c:\windows\system32\FUSServices.exe [03.09.2008 01:38 10752]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [29.04.2011 12:11 2151128]

S3 telch;Firmware Upload Service;c:\windows\system32\drivers\telch.sys [25.12.2009 19:22 32384]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - KLMD25

*NewlyCreated* - LAVASOFT_KERNEXPLORER

*Deregistered* - klmd25

*Deregistered* - Lavasoft Kernexplorer

.

Inhalt des "geplante Tasks" Ordners

.

2011-05-17 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-29 09:11]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

mWindow Title = Microsoft Internet Explorer

TCP: {9522F010-1CEC-46EA-9BE1-F38379794A06} = 192.168.1.1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-SigmatelSysTrayApp - sttray.exe

HKLM-Run-nwiz - nwiz.exe

AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-05-17 16:00

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-1715567821-1993962763-839522115-1004\Software\SecuROM\License information*]

"datasecu"=hex:3f,5b,13,05,cf,55,f6,d6,9c,61,cc,93,b8,bb,c2,8b,ca,58,50,5b,16,

   e6,c8,1c,f3,0f,cc,b8,51,c9,10,da,b3,ad,19,a3,bb,16,4d,d6,e1,cc,a6,66,a5,c7,\

"rkeysecu"=hex:f2,eb,21,cd,d0,e4,bf,9b,b0,a3,a3,ca,d0,82,91,a1

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(412)

c:\windows\system32\webcheck.dll

.

Zeit der Fertigstellung: 2011-05-17  16:01:32

ComboFix-quarantined-files.txt  2011-05-17 14:01

.

Vor Suchlauf: 13 Verzeichnis(se), 69.695.840.256 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 70.552.272.896 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

.

- - End Of File - - A8CDE68E79D315377849B4BF0DB3E21A

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 17:02:46 on 17.05.2011
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Boot Execute]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----

"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)
 

[Common]

-----( %SystemRoot%\Tasks )-----

"Ad-Aware Update (Weekly).job" - "Lavasoft Limited                                                      " - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"Ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\Ddbaccpl.cpl

"ddBACCTM.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddBACCTM.cpl

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl

"PhysX.cpl" - ? - C:\WINDOWS\system32\PhysX.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"aflorpog" (aflorpog) - ? - C:\DOKUME~1\Stefan\LOKALE~1\Temp\aflorpog.sys  (Hidden registry entry, rootkit activity | File not found)

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"Cardex" (Cardex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPANEL.SYS

"catchme" (catchme) - ? - C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"Intel(R) AMT Management Interface" (HECI) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\HECI.sys

"Intel(R) PRO/1000 PCI Express Network Connection Driver" (e1express) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\e1e5132.sys

"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File found, but it contains no detailed information)

"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"mbr" (mbr) - ? - C:\cofi\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"Nal Service " (NAL) - "Intel Corporation " - C:\WINDOWS\system32\Drivers\iqvw32.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - ? -   (File not found | COM-object registry key not found)

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - ? - C:\WINDOWS\system32\nvshell.dll  (File not found)

{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - ? -   (File not found | COM-object registry key not found)

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10d.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"GAINWARD" - "Gainward Co." - C:\Programme\EXPERTool\TBPanel.exe /A

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"IndexSearch" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"

"IntelAudioStudio" - "Intel Corporation" - "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" BOOT

"MFFSum_Pro_LL2" - ? - "C:\Programme\Companion Suite Pro LL2\MFFSUM.exe"

"MFPrintServer_Pro_LL2" - ? - "C:\Programme\Companion Suite Pro LL2\MFPrintServer.exe"

"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

"PaperPort PTD" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"

"RemoteControl" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

"SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Companion Suite Pro LL2 Fax Port Monitor" - "OEM" - C:\WINDOWS\system32\cspll2p.dll

"LFOGRPJL" - ? - C:\WINDOWS\system32\LFOGRPJL.DLL  (File signed by Microsoft | File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft Limited" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe

"Session Launcher Service" (FUSServices) - ? - C:\WINDOWS\system32\FUSServices.exe  (File found, but it contains no detailed information)

"SQL Server (JTLWAWI)" (MSSQL$JTLWAWI) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

"SQL Server-Browser" (SQLBrowser) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000000bc

Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB80A8000 eyleergd.sys
0xB7F78000 ACPI.sys
0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB7F67000 pci.sys
0xB80B8000 isapnp.sys
0xB80C8000 ohci1394.sys
0xB80D8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80E8000 MountMgr.sys
0xB7F48000 ftdisk.sys
0xB8330000 PartMgr.sys
0xB80F8000 VolSnap.sys
0xB7F30000 atapi.sys
0xB8108000 disk.sys
0xB8118000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7F10000 fltmgr.sys
0xB7EFE000 sr.sys
0xB8128000 Lbd.sys
0xB8138000 PxHelp20.sys
0xB7EE7000 KSecDD.sys
0xB7E5A000 Ntfs.sys
0xB7E2D000 NDIS.sys
0xB7E13000 Mup.sys
0xB8318000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB6876000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB6862000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB767C000 \SystemRoot\system32\DRIVERS\HECI.sys
0xB6830000 \SystemRoot\system32\DRIVERS\e1e5132.sys
0xB8400000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB680C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB8408000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB67E4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB766C000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB765C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB764C000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB67C1000 \SystemRoot\system32\DRIVERS\ks.sys
0xB763C000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB67AD000 \SystemRoot\system32\DRIVERS\parport.sys
0xB762C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB8410000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB761C000 \SystemRoot\system32\DRIVERS\serial.sys
0xB8588000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB871F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB760C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB858C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB6796000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB75FC000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB75EC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB8418000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB6785000 \SystemRoot\system32\DRIVERS\psched.sys
0xB8158000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB8420000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB8428000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB8168000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB8430000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85C2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB6727000 \SystemRoot\system32\DRIVERS\update.sys
0xB8598000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB8178000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB81A8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB85C4000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB3815000 \SystemRoot\system32\drivers\sthda.sys
0xB37F1000 \SystemRoot\system32\drivers\portcls.sys
0xB81B8000 \SystemRoot\system32\drivers\drmk.sys
0xB81C8000 \SystemRoot\system32\drivers\sfng32.sys
0xB85C8000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB87DD000 \SystemRoot\System32\Drivers\Null.SYS
0xB85CA000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8450000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB8458000 \SystemRoot\System32\drivers\vga.sys
0xB85CC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB85CE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB8460000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB8468000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB8558000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB3796000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB373D000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB36ED000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB36C7000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB36A5000 \SystemRoot\System32\drivers\afd.sys
0xB81F8000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB8208000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB8470000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB35DA000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB8218000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB356A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB8228000 \SystemRoot\System32\Drivers\Fips.SYS
0xB8478000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB8480000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB354E000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB85D2000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB8488000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB7252000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xB8248000 \SystemRoot\System32\Drivers\FaxLffv2.sys
0xB8258000 \SystemRoot\System32\Drivers\XMLDIUSB.sys
0xB724E000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB8268000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB8278000 \SystemRoot\system32\DRIVERS\xusb21.sys
0xB8288000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xB34D2000 \SystemRoot\System32\Drivers\wdf01000.sys
0xB724A000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB34AE000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB346E000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB85E4000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB8578000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8490000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB879C000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBD610000 \SystemRoot\System32\ATMFD.DLL
0xB3142000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB316E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2DF5000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB863C000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB863E000 \SystemRoot\System32\Drivers\TBPanel.SYS
0xB2CA0000 \SystemRoot\system32\drivers\wdmaud.sys
0xB2D25000 \SystemRoot\system32\drivers\sysaudio.sys
0xB2A62000 \SystemRoot\system32\DRIVERS\srv.sys
0xB25F1000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB2309000 \SystemRoot\System32\Drivers\HTTP.sys
0xB85BC000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xB84A8000 \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys
0xB3492000 \??\C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys
0xB0B8F000 \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\aflorpog.sys
0xB0B64000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 40):
0 System Idle Process
4 System
632 C:\WINDOWS\system32\smss.exe
696 csrss.exe
720 C:\WINDOWS\system32\winlogon.exe
764 C:\WINDOWS\system32\services.exe
776 C:\WINDOWS\system32\lsass.exe
972 C:\WINDOWS\system32\nvsvc32.exe
1004 C:\WINDOWS\system32\svchost.exe
1072 svchost.exe
1168 C:\WINDOWS\system32\svchost.exe
1260 svchost.exe
1364 svchost.exe
1564 C:\WINDOWS\system32\spoolsv.exe
1612 C:\Programme\Avira\AntiVir Desktop\sched.exe
1632 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1696 svchost.exe
1932 C:\Programme\Java\jre6\bin\jqs.exe
152 sqlservr.exe
420 sqlbrowser.exe
484 C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
364 C:\WINDOWS\system32\svchost.exe
1320 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1420 C:\Programme\Companion Suite Pro LL2\MFPrintServer.exe
1764 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
2084 C:\WINDOWS\system32\rundll32.exe
2148 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2408 C:\WINDOWS\system32\ctfmon.exe
3812 alg.exe
3248 C:\WINDOWS\system32\LFOGRPOW.EXE
3736 C:\WINDOWS\system32\wbem\wmiapsrv.exe
412 C:\WINDOWS\explorer.exe
3352 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
416 unsecapp.exe
3120 wmiprvse.exe
460 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
2600 C:\Programme\Internet Explorer\iexplore.exe
3916 C:\Programme\Internet Explorer\iexplore.exe
4040 C:\Programme\Internet Explorer\iexplore.exe
1392 C:\Dokumente und Einstellungen\Stefan\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000013`8836ac00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000027`106cda00 (NTFS)
\\.\H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (FAT32)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-41
PhysicalDrive1 Model Number: WDC WD5000AAVS-00ZTB0, Rev:

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
465 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: 24333FC3E6BA98A85AEA05CC67CA7D1DD9518EE3

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

Bin auf dem Berreich echt nicht fit, was wäre den jetzte die bessere Wahl :confused: ???

GMER ging nicht?

Zitat:

465 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: 24333FC3E6BA98A85AEA05CC67CA7D1DD9518EE3

Was ist das für eine Platte? Handelt sich um eine 500 GB Platte. Laufwerk H:
Externe Platte? Nur zur Datenablage?

Jep, ist ne externe 500 GB zur Datenablage.

GMER lasse ich grade nochmal durchlaufen, hat vorhin nicht geklappt.

GMER Logfile:

Code:

GMER 1.0.15.15627 - hxxp://www.gmer.net

Rootkit scan 2011-05-17 20:21:33

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-10 SAMSUNG_SP2504C rev.VT100-41

Running: m9905tjj.exe; Driver: C:\DOKUME~1\Stefan\LOKALE~1\Temp\aflorpog.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            B870D246                                                                                                                                                                      ZwCreateKey

SSDT            B870D23C                                                                                                                                                                      ZwCreateThread

SSDT            B870D24B                                                                                                                                                                      ZwDeleteKey

SSDT            B870D255                                                                                                                                                                      ZwDeleteValueKey

SSDT            B870D25A                                                                                                                                                                      ZwLoadKey

SSDT            B870D228                                                                                                                                                                      ZwOpenProcess

SSDT            B870D22D                                                                                                                                                                      ZwOpenThread

SSDT            B870D264                                                                                                                                                                      ZwReplaceKey

SSDT            B870D25F                                                                                                                                                                      ZwRestoreKey

SSDT            B870D250                                                                                                                                                                      ZwSetValueKey

SSDT            B870D237                                                                                                                                                                      ZwTerminateProcess
 

Code            \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys                                                                                                                              pIofCallDriver
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               eyleergd.sys                                                                                                                                                                  Das System kann die angegebene Datei nicht finden. !

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                                                                      section is writeable [0xB6876380, 0x5414D5, 0xE8000020]

?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                                                                                    Das System kann die angegebene Datei nicht finden. !

?               C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys                                                                                                                                  Das System kann die angegebene Datei nicht finden. !
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!DialogBoxParamW                                                                                                  7E3747AB 5 Bytes  JMP 411954BD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!CreateWindowExW                                                                                                  7E37D0A3 5 Bytes  JMP 4126DB5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!DialogBoxIndirectParamW                                                                                          7E382072 5 Bytes  JMP 41365117 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!MessageBoxIndirectA                                                                                              7E38A082 5 Bytes  JMP 41365049 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!DialogBoxParamA                                                                                                  7E38B144 5 Bytes  JMP 413650B4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!MessageBoxExW                                                                                                    7E3A0838 5 Bytes  JMP 41364F1A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!MessageBoxExA                                                                                                    7E3A085C 5 Bytes  JMP 41364F7C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!DialogBoxIndirectParamA                                                                                          7E3A6D7D 5 Bytes  JMP 4136517A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[2600] USER32.dll!MessageBoxIndirectW                                                                                              7E3B64D5 5 Bytes  JMP 41364FDE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!DialogBoxParamW                                                                                                  7E3747AB 5 Bytes  JMP 411954BD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!SetWindowsHookExW                                                                                                7E37820F 5 Bytes  JMP 41269B01 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!CallNextHookEx                                                                                                   7E37B3C6 5 Bytes  JMP 4125D125 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!CreateWindowExW                                                                                                  7E37D0A3 5 Bytes  JMP 4126DB5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!UnhookWindowsHookEx                                                                                              7E37D5F3 5 Bytes  JMP 411D4664 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!DialogBoxIndirectParamW                                                                                          7E382072 5 Bytes  JMP 41365117 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!MessageBoxIndirectA                                                                                              7E38A082 5 Bytes  JMP 41365049 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!DialogBoxParamA                                                                                                  7E38B144 5 Bytes  JMP 413650B4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!MessageBoxExW                                                                                                    7E3A0838 5 Bytes  JMP 41364F1A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!MessageBoxExA                                                                                                    7E3A085C 5 Bytes  JMP 41364F7C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!DialogBoxIndirectParamA                                                                                          7E3A6D7D 5 Bytes  JMP 4136517A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] USER32.dll!MessageBoxIndirectW                                                                                              7E3B64D5 5 Bytes  JMP 41364FDE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] ole32.dll!CoCreateInstance                                                                                                  774CF1AC 5 Bytes  JMP 4126DBB8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3916] ole32.dll!OleLoadFromStream                                                                                                 774F981B 5 Bytes  JMP 4136547F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!DialogBoxParamW                                                                                                  7E3747AB 5 Bytes  JMP 411954BD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!SetWindowsHookExW                                                                                                7E37820F 5 Bytes  JMP 41269B01 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!CallNextHookEx                                                                                                   7E37B3C6 5 Bytes  JMP 4125D125 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!CreateWindowExW                                                                                                  7E37D0A3 5 Bytes  JMP 4126DB5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!UnhookWindowsHookEx                                                                                              7E37D5F3 5 Bytes  JMP 411D4664 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!DialogBoxIndirectParamW                                                                                          7E382072 5 Bytes  JMP 41365117 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!MessageBoxIndirectA                                                                                              7E38A082 5 Bytes  JMP 41365049 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!DialogBoxParamA                                                                                                  7E38B144 5 Bytes  JMP 413650B4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!MessageBoxExW                                                                                                    7E3A0838 5 Bytes  JMP 41364F1A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!MessageBoxExA                                                                                                    7E3A085C 5 Bytes  JMP 41364F7C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!DialogBoxIndirectParamA                                                                                          7E3A6D7D 5 Bytes  JMP 4136517A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] USER32.dll!MessageBoxIndirectW                                                                                              7E3B64D5 5 Bytes  JMP 41364FDE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] ole32.dll!CoCreateInstance                                                                                                  774CF1AC 5 Bytes  JMP 4126DBB8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4040] ole32.dll!OleLoadFromStream                                                                                                 774F981B 5 Bytes  JMP 4136547F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\Programme\Internet Explorer\iexplore.exe[3916] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                                                               [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

IAT             C:\Programme\Internet Explorer\iexplore.exe[4040] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                                                               [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                                      fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Files - GMER 1.0.15 ----
 

File            C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D7IMGXK0\cookie[1].gif                                                        43 bytes

File            C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TGP7HWK9\99195-deutsche-bank-trojaner-c-recycle-bin-trojan-spyeyes-3[1].html  67779 bytes
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6597

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.05.2011 21:38:40
mbam-log-2011-05-17 (21-38-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 194265
Laufzeit: 19 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zeigt deutlich auf welche Seiten man nicht gehen sollte :headbang::twak::stirn:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/17/2011 at 10:25 PM

Application Version : 4.52.1000

Core Rules Database Version : 7076
Trace Rules Database Version: 4888

Scan type : Complete Scan
Total Scan Time : 00:34:17

Memory items scanned : 529
Memory threats detected : 0
Registry items scanned : 6401
Registry threats detected : 0
File items scanned : 49818
File threats detected : 39

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@specificclick[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@tracking.quisma[3].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ww251.smartadserver[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@zanox[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@traffictrack[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@fastclick[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@stats.paypal[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@doubleclick[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@serving-sys[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad3.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@e-2dj6wfkyqidzskp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@adtech[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@atdmt[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad4.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@adviva[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.adc-serv[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@e-2dj6wnmyuoazefp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@webmasterplan[2].txt
bc.youporn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
cdn1.static.pornhub.phncdn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
cdn5.specificclick.net [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
de.pornhub.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
files.youporn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
objects.tremormedia.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
serving-sys.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
static.youporn.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]
www.pornhub.com [ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Z4XAZ8TF ]

:uglyhammer:

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Keine neuen Funde :daumenhoc!!!

Dickes Lob, macht weiter so :applaus::dankeschoen::applaus:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.