Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ständig Fehlermeldung im IE bei Google Abfrage (https://www.trojaner-board.de/99707-staendig-fehlermeldung-ie-google-abfrage.html)

Realbiker 29.05.2011 12:31
Ständig Fehlermeldung im IE bei Google Abfrage
 
Hallo,
ich habe das Problem. daß mein Rechner zeitweise sehr langsam wird und seit neustem eine Fehlermeldung bei der Suchfeldeingabe im IE8 erschein: Details zum Fehler auf der Webseite

Benutzer-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
Zeitstempel: Sun, 29 May 2011 11:21:50 UTC


Meldung: Syntaxfehler
Zeile: 1
Zeichen: 1
Code: 0
URI: hxxp://johndoeppctest.com/ads_prod.php

Ein Virenscan mit Microsoft Security Essentials, sowie Malwarebytes brachten keine Ergebnisse.
Ein Scan mit Combofix brachte folgende Log-Datei:
Combofix Logfile:
Code:
ComboFix 11-05-27.02 - XXXXXXXXXXXX 29.05.2011 13:04:39.2.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3325.2438 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXXXX XXXXXX\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\logs
c:\windows\system32\logs\svchost.log
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Security
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-04-28 bis 2011-05-29 ))))))))))))))))))))))))))))))
.
.
2011-05-29 11:10 . 2011-05-29 11:10    --------    d-----w-    c:\windows\system32\logs
2011-05-29 10:43 . 2011-05-29 10:43    --------    d-----w-    c:\dokumente und einstellungen\XXXXX \Anwendungsdaten\GlarySoft
2011-05-29 10:41 . 2011-05-29 10:41    --------    d-----w-    c:\programme\Glary Utilities
2011-05-29 08:06 . 2011-05-09 20:46    6962000    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D7286375-9FB7-4A82-99AB-07FA95EE68D7}\mpengine.dll
2011-05-27 07:35 . 2010-12-20 16:09    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-27 07:35 . 2010-12-20 16:08    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2011-05-24 17:59 . 2011-05-24 17:59    --------    d--h--w-    c:\windows\PIF
2011-05-17 19:24 . 2011-05-26 17:50    --------    d-----w-    c:\dokumente und einstellungen\XXXXX \Anwendungsdaten\Firstload
2011-05-17 19:24 . 2011-05-17 19:24    --------    d-----w-    c:\programme\Firstload
2011-05-17 19:24 . 2011-05-17 19:24    --------    d-----w-    c:\programme\VideoLAN
2011-05-16 19:40 . 2011-05-16 19:40    --------    d-----w-    c:\dokumente und einstellungen\XXXXX \Anwendungsdaten\BabylonToolbar
2011-05-16 19:38 . 2011-05-16 19:38    --------    d-----w-    c:\programme\Babylon
2011-05-16 18:34 . 2011-05-27 10:54    --------    d-----w-    c:\dokumente und einstellungen\XXXXX \Anwendungsdaten\Dizo
2011-05-16 18:34 . 2011-05-24 18:04    --------    d-----w-    c:\dokumente und einstellungen\XXXXX \Anwendungsdaten\Voewa
2011-05-13 18:53 . 2011-05-13 18:53    --------    d-----w-    c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\DVDVideoSoft
2011-05-13 18:53 . 2011-05-14 06:10    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2011-05-01 15:44 . 2011-05-01 15:44    --------    d-----w-    c:\windows\systgm32
2011-05-01 15:44 . 2011-05-01 15:44    --------    d-----w-    c:\programme\Gemeinsame Dateien\microsoft shared^web server extensions
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-22 21:27 . 2010-06-27 13:08    1324    ----a-w-    c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08    1324    ----a-w-    c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08    1324    ----a-w-    c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08    1324    ----a-w-    c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08    1324    ----a-w-    c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-09 20:46 . 2010-06-18 05:48    6962000    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-03-07 05:33 . 2009-01-03 19:25    692736    ----a-w-    c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-04 12:00    420864    ----a-w-    c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-04 12:00    1858048    ----a-w-    c:\windows\system32\win32k.sys
2010-12-10 13:27 . 2010-12-31 11:34    1456640    ----a-w-    c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2004-06-10 11:13 . 2004-07-26 11:55    40960    ----a-w-    c:\programme\owcsetup.dll
2004-04-29 11:36 . 2004-07-26 11:55    40960    ----a-w-    c:\programme\owsetup1.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1&1 SMS-Manager"="c:\programme\1&1\SMS-Manager\SMSMngr.exe" [2007-04-13 3500544]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-09-03 19573352]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"BabylonToolbar"="c:\programme\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarsrv.exe" [2010-11-07 286720]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
[verify-U]-Software.lnk - c:\programme\[verify-U] AVS\[verify-U]-Software.exe [2008-1-14 475136]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^maxdome Download Manager.lnk]
backup=c:\windows\pss\maxdome Download Manager.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2010-12-06 05:55    391240    ----a-w-    c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07    932288    ----a-r-    c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44    35760    ----a-w-    c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzAgent]
2005-09-15 02:08    315392    ----a-w-    c:\programme\Companion Photo\AzAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2010-02-01 17:14    323392    ----a-w-    c:\programme\DNA\btdna.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX7000F Series]
2006-05-22 04:00    139264    -c--a-w-    c:\windows\system32\spool\drivers\w32x86\3\E_FATIBKE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX8400 Series]
2007-04-12 06:00    182272    ----a-w-    c:\windows\system32\spool\drivers\w32x86\3\E_FATICEE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 11:50    1289000    ----a-w-    c:\programme\Microsoft ActiveSync\wcescomm.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-11-17 19:59    421160    ----a-w-    c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40    155648    ----a-w-    c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-07-09 14:24    13923432    ----a-w-    c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-07-09 14:24    110696    ----a-w-    c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEPCI]
2004-08-30 16:31    36864    ----a-w-    c:\progra~1\Pinnacle\PPE\PPE.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17    421888    ----a-w-    c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2010-09-03 14:20    19573352    ----a-w-    c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SAOB Monitor]
2010-11-16 03:33    2570688    ----a-w-    c:\programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2010-12-06 05:55    5578920    ----a-w-    c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB2Check]
2007-02-20 12:09    81920    ----a-w-    c:\windows\system32\PCLECoInst.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USBToolTip]
2007-02-20 01:07    199752    ----a-w-    c:\programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2011-04-03 14:57    399736    ----a-w-    c:\programme\uTorrent\uTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"idsvc"=3 (0x3)
"DBService"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"=
"c:\\Programme\\GIGABYTE\\@BIOS\\UpdExe.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\FRITZ!\\FriFax32.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Horst Marquardt\\Lokale Einstellungen\\Apps\\2.0\\41E3OKDD.G5P\\PHEXLP8D.RZN\\frit..tion_8488884cfbcefd60_0002.0002_9409db79b3f040fd\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition-neu\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition-neu\\app\\StarMoney.exe"=
"c:\\Dokumente und Einstellungen\\XXXX\\Lokale Einstellungen\\Apps\\2.0\\41E3OKDD.G5P\\PHEXLP8D.RZN\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Nokia\\Nokia Ovi Suite\\NokiaOviSuite.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7618:TCP"= 7618:TCP:BitComet 7618 TCP
"7618:UDP"= 7618:UDP:BitComet 7618 UDP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [19.09.2010 11:05 40560]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [15.12.2010 21:41 752128]
R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [02.09.2009 17:06 76800]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 17:35 128296]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [04.01.2009 13:45 110304]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 20:31 277544]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [15.12.2010 21:41 3246040]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [11.09.2010 19:51 45824]
R2 ubsbm;Unibrain 1394 SBM Driver;c:\windows\system32\drivers\UBSBM.sys [27.07.2005 18:25 14080]
R2 ubumapi;Unibrain 1394 FireAPI Driver;c:\windows\system32\drivers\UBUMAPI.sys [27.07.2005 18:25 36352]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [15.12.2010 21:41 167968]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [24.11.2010 17:27 101248]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [02.01.2010 15:00 101248]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [15.12.2010 16:58 58880]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [15.12.2010 16:58 137728]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [11.09.2010 19:51 56960]
R3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611]
R3 ubohci;Unibrain 1394 OHCI Driver;c:\windows\system32\drivers\ubohci.sys [27.07.2005 18:25 77056]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S1 axnldoio;axnldoio;\??\c:\windows\system32\drivers\axnldoio.sys --> c:\windows\system32\drivers\axnldoio.sys [?]
S1 iwwiipnx;iwwiipnx;\??\c:\windows\system32\drivers\iwwiipnx.sys --> c:\windows\system32\drivers\iwwiipnx.sys [?]
S1 krtqrrjn;krtqrrjn;\??\c:\windows\system32\drivers\krtqrrjn.sys --> c:\windows\system32\drivers\krtqrrjn.sys [?]
S1 MpKsl8293f020;MpKsl8293f020;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D7286375-9FB7-4A82-99AB-07FA95EE68D7}\MpKsl8293f020.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D7286375-9FB7-4A82-99AB-07FA95EE68D7}\MpKsl8293f020.sys [?]
S1 MpKslf3203388;MpKslf3203388;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0988F5B2-BC50-48C9-91A0-A9425D51E14F}\MpKslf3203388.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0988F5B2-BC50-48C9-91A0-A9425D51E14F}\MpKslf3203388.sys [?]
S1 nrasvxrz;nrasvxrz;\??\c:\windows\system32\drivers\nrasvxrz.sys --> c:\windows\system32\drivers\nrasvxrz.sys [?]
S1 ohdyffyo;ohdyffyo;\??\c:\windows\system32\drivers\ohdyffyo.sys --> c:\windows\system32\drivers\ohdyffyo.sys [?]
S1 ovddrjyd;ovddrjyd;\??\c:\windows\system32\drivers\ovddrjyd.sys --> c:\windows\system32\drivers\ovddrjyd.sys [?]
S2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0 S-Edition-neu\ouservice\StarMoneyOnlineUpdate.exe [19.11.2010 14:37 549384]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [16.06.2009 21:00 1691480]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\DRIVERS\TwkUsb2K.sys --> c:\windows\system32\DRIVERS\TwkUsb2K.sys [?]
S3 EMVSCARD;EMVSCARD;c:\windows\system32\drivers\EMVSCARD.sys [18.09.2006 16:12 20269]
S3 NmPar;Unusable Parallel Port;c:\windows\system32\drivers\NmPar.sys [09.04.2008 10:28 80512]
S3 nmserial;PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [04.04.2008 08:30 70016]
S3 PinnacleMarvinAVS;Pinnacle AVStream Service for MovieBox Deluxe, 500-USB and 700-USB;c:\windows\system32\drivers\MarvinAVS.sys [06.11.2009 19:17 434176]
S3 Serport;CHIPDRIVE USB Serial Port Emulation;c:\windows\system32\DRIVERS\SERPORT.SYS --> c:\windows\system32\DRIVERS\SERPORT.SYS [?]
S3 TWKPNP;CHIPDRIVE Plug and Play driver;c:\windows\system32\DRIVERS\TWKPNP.SYS --> c:\windows\system32\DRIVERS\TWKPNP.SYS [?]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [03.01.2009 23:20 845184]
S4 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [02.09.2009 20:53 187456]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - uphcleanhlp
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
2008-06-18 14:04    8192    -c--a-w-    c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
2011-05-29 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2011-05-29 09:28]
.
2011-05-29 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
2011-05-29 c:\windows\Tasks\User_Feed_Synchronization-{5C05DCC7-958F-4A69-B262-FEE3F8700835}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
2011-05-29 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-09 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.178.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-29 13:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
"ImagePath"="\"c:\programme\
[verify-U] AVS\[verify-U]-Service.exe\""
.
"ImagePath"="system32\drivers\
[verify-U]-driver.sys"
.
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]]
"ImagePath"="\"c:\programme\
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]_System]
"ImagePath"="system32\drivers\
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(4888)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Microsoft Security Client\Antimalware\MsMpEng.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\[verify-U] AVS\[verify-U]-Software.exe
c:\progra~1\Microsoft ActiveSync\rapimgr.exe
c:\programme\UPHClean\uphclean.exe
c:\programme\[verify-U] AVS\[verify-U]-Service.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-29 13:13:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-05-29 11:13
ComboFix2.txt 2011-05-29 07:59
.
Vor Suchlauf: 22 Verzeichnis(se), 210.669.486.080 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 210.667.970.560 Bytes frei
.
- - End Of File - - 9178F16621344112249983479FD0D5F6
--- --- ---


Könnt Ihr damit was anfangen?

cosinus 29.05.2011 15:18
http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html


http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif
Zitat:

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Realbiker 29.05.2011 15:57
OK, Danke für den Hinweis.
Ich habe jetzt OTL geladen und einen Quick-Scan gestartet. Dieser hängt jedoch bei scvanning service "verify-U".
Ein deaktivieren von verify-U bringt keine Änderung.

cosinus 29.05.2011 16:04
Dann mach zuerst einen Vollscan mit Malwarebytes und poste das Log.

Realbiker 29.05.2011 20:36
hier also das Malewarebytes-Log:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6690

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.05.2011 18:16:13
mbam-log-2011-05-29 (18-16-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 413326
Laufzeit: 1 Stunde(n), 8 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ich hoffe es hilft weiter.

Gruß
Realbiker

cosinus 30.05.2011 10:51
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.



Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!



Code:
Folder::
c:\windows\system32\logs
C:\dokumente und einstellungen\XXXXX\Anwendungsdaten\Dizo
c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\Voewa
c:\windows\systgm32

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-

File::
c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
c:\windows\system32\drivers\axnldoio.sys
c:\windows\system32\drivers\iwwiipnx.sys
c:\windows\system32\drivers\krtqrrjn.sys
c:\windows\system32\drivers\nrasvxrz.sys
c:\windows\system32\drivers\ohdyffyo.sys
c:\windows\system32\drivers\ovddrjyd.sys

Driver::
axnldoio
iwwiipnx
krtqrrjn
nrasvxrz
ohdyffyo
ovddrjyd
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Realbiker 30.05.2011 18:57
Hallo Cosinus,

ich hab den script wie angegeben abgespeichert, Benutzernamen geändert, auf combofix gezogen. Combofix ist gestartet, hat 50 Prüfschritte durchlaufen, die logdateien gelöscht und wollte dann Windows neu starten.
Es stand dort Windows wird neu gestartet - bitte Warten. Das wars. Nach 2 Stunden Wartezeit hab ich den Rechner neu gestartet.

cosinus 30.05.2011 19:39
Zitat:
Es stand dort Windows wird neu gestartet - bitte Warten. Das wars
Bist jetzt schon der 2. der das meldet. Vllt hat CF da neuerdings einen Bug.
Kannst du ein Log im Ordner C:\Qoobox sehen?

Wenn nicht brauch ich den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Realbiker 31.05.2011 16:35
Hall Arne,

ich habe den Qoobox-Ordner hochgeladen.

Gruß
Realbiker

cosinus 31.05.2011 18:11
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Folder::
c:\windows\system32\logs
c:\windows\systgm32

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7618:TCP"=-
"7618:UDP"=-
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-

File::
c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
c:\windows\system32\drivers\axnldoio.sys
c:\windows\system32\drivers\iwwiipnx.sys
c:\windows\system32\drivers\krtqrrjn.sys
c:\windows\system32\drivers\nrasvxrz.sys
c:\windows\system32\drivers\ohdyffyo.sys
c:\windows\system32\drivers\ovddrjyd.sys

Driver::
axnldoio
iwwiipnx
krtqrrjn
nrasvxrz
ohdyffyo
ovddrjyd
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Realbiker 31.05.2011 20:52
Jetzt hats geklappt und er hat sogar was gefunden.
Hier der Inhalt des Log-Files:

Combofix Logfile:
Code:
ComboFix 11-05-31.01 - XXXXX 31.05.2011  21:34:34.6.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3325.2833 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXXXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXXXX\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
FILE ::
"c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp"
"c:\windows\system32\drivers\axnldoio.sys"
"c:\windows\system32\drivers\iwwiipnx.sys"
"c:\windows\system32\drivers\krtqrrjn.sys"
"c:\windows\system32\drivers\nrasvxrz.sys"
"c:\windows\system32\drivers\ohdyffyo.sys"
"c:\windows\system32\drivers\ovddrjyd.sys"
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\logs
c:\windows\system32\logs\svchost.log
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\Dizo
c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\Voewa
c:\windows\system32\logs
c:\windows\system32\logs\svchost.log
.
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_axnldoio
-------\Service_iwwiipnx
-------\Service_krtqrrjn
-------\Service_nrasvxrz
-------\Service_ohdyffyo
-------\Service_ovddrjyd
-------\Service_Security
-------\Service_Security
-------\Service_Security
-------\Service_Security
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-28 bis 2011-05-31  ))))))))))))))))))))))))))))))
.
.
2011-05-31 19:42 . 2011-05-31 19:42        --------        d-----w-        c:\windows\system32\logs
2011-05-29 14:59 . 2011-05-09 20:46        6962000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7BE9CF1E-E102-4DCD-A20F-880D47644531}\mpengine.dll
2011-05-29 10:43 . 2011-05-29 10:43        --------        d-----w-        c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\GlarySoft
2011-05-29 10:41 . 2011-05-29 10:41        --------        d-----w-        c:\programme\Glary Utilities
2011-05-27 07:35 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-27 07:35 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-05-24 17:59 . 2011-05-24 17:59        --------        d--h--w-        c:\windows\PIF
2011-05-17 19:24 . 2011-05-26 17:50        --------        d-----w-        c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\Firstload
2011-05-17 19:24 . 2011-05-17 19:24        --------        d-----w-        c:\programme\Firstload
2011-05-17 19:24 . 2011-05-17 19:24        --------        d-----w-        c:\programme\VideoLAN
2011-05-16 19:40 . 2011-05-16 19:40        --------        d-----w-        c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\BabylonToolbar
2011-05-16 19:38 . 2011-05-16 19:38        --------        d-----w-        c:\programme\Babylon
2011-05-13 18:53 . 2011-05-13 18:53        --------        d-----w-        c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\DVDVideoSoft
2011-05-13 18:53 . 2011-05-14 06:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-22 21:27 . 2010-06-27 13:08        1324        ----a-w-        c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08        1324        ----a-w-        c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08        1324        ----a-w-        c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08        1324        ----a-w-        c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-22 21:27 . 2010-06-27 13:08        1324        ----a-w-        c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp
2011-05-09 20:46 . 2010-06-18 05:48        6962000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-03-07 05:33 . 2009-01-03 19:25        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-04 12:00        420864        ----a-w-        c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-04 12:00        1858048        ----a-w-        c:\windows\system32\win32k.sys
2010-12-10 13:27 . 2010-12-31 11:34        1456640        ----a-w-        c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2004-06-10 11:13 . 2004-07-26 11:55        40960        ----a-w-        c:\programme\owcsetup.dll
2004-04-29 11:36 . 2004-07-26 11:55        40960        ----a-w-        c:\programme\owsetup1.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1&1 SMS-Manager"="c:\programme\1&1\SMS-Manager\SMSMngr.exe" [2007-04-13 3500544]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-09-03 19573352]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"BabylonToolbar"="c:\programme\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarsrv.exe" [2010-11-07 286720]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
[verify-U]-Software.lnk - c:\programme\[verify-U] AVS\[verify-U]-Software.exe [2008-1-14 475136]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^maxdome Download Manager.lnk]
backup=c:\windows\pss\maxdome Download Manager.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2010-12-06 05:55        391240        ----a-w-        c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07        932288        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzAgent]
2005-09-15 02:08        315392        ----a-w-        c:\programme\Companion Photo\AzAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2010-02-01 17:14        323392        ----a-w-        c:\programme\DNA\btdna.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX7000F Series]
2006-05-22 04:00        139264        -c--a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATIBKE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX8400 Series]
2007-04-12 06:00        182272        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATICEE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 11:50        1289000        ----a-w-        c:\programme\Microsoft ActiveSync\wcescomm.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-11-17 19:59        421160        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40        155648        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-07-09 14:24        13923432        ----a-w-        c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-07-09 14:24        110696        ----a-w-        c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEPCI]
2004-08-30 16:31        36864        ----a-w-        c:\progra~1\Pinnacle\PPE\PPE.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2010-09-03 14:20        19573352        ----a-w-        c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SAOB Monitor]
2010-11-16 03:33        2570688        ----a-w-        c:\programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2010-12-06 05:55        5578920        ----a-w-        c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB2Check]
2007-02-20 12:09        81920        ----a-w-        c:\windows\system32\PCLECoInst.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USBToolTip]
2007-02-20 01:07        199752        ----a-w-        c:\programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2011-04-03 14:57        399736        ----a-w-        c:\programme\uTorrent\uTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"idsvc"=3 (0x3)
"DBService"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"=
"c:\\Programme\\GIGABYTE\\@BIOS\\UpdExe.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\FRITZ!\\FriFax32.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\XXXXX\\Lokale Einstellungen\\Apps\\2.0\\41E3OKDD.G5P\\PHEXLP8D.RZN\\frit..tion_8488884cfbcefd60_0002.0002_9409db79b3f040fd\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition-neu\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition-neu\\app\\StarMoney.exe"=
"c:\\Dokumente und Einstellungen\\XXXXX\\Lokale Einstellungen\\Apps\\2.0\\41E3OKDD.G5P\\PHEXLP8D.RZN\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Nokia\\Nokia Ovi Suite\\NokiaOviSuite.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [19.09.2010 11:05 40560]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [15.12.2010 21:41 752128]
R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [02.09.2009 17:06 76800]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 17:35 128296]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [04.01.2009 13:45 110304]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 20:31 277544]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [15.12.2010 21:41 3246040]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [11.09.2010 19:51 45824]
R2 ubsbm;Unibrain 1394 SBM Driver;c:\windows\system32\drivers\UBSBM.sys [27.07.2005 18:25 14080]
R2 ubumapi;Unibrain 1394 FireAPI Driver;c:\windows\system32\drivers\UBUMAPI.sys [27.07.2005 18:25 36352]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [15.12.2010 21:41 167968]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [24.11.2010 17:27 101248]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [02.01.2010 15:00 101248]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [15.12.2010 16:58 58880]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [15.12.2010 16:58 137728]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [11.09.2010 19:51 56960]
R3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611]
R3 ubohci;Unibrain 1394 OHCI Driver;c:\windows\system32\drivers\ubohci.sys [27.07.2005 18:25 77056]
S1 MpKsl8293f020;MpKsl8293f020;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D7286375-9FB7-4A82-99AB-07FA95EE68D7}\MpKsl8293f020.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D7286375-9FB7-4A82-99AB-07FA95EE68D7}\MpKsl8293f020.sys [?]
S1 MpKslf3203388;MpKslf3203388;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0988F5B2-BC50-48C9-91A0-A9425D51E14F}\MpKslf3203388.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0988F5B2-BC50-48C9-91A0-A9425D51E14F}\MpKslf3203388.sys [?]
S2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0 S-Edition-neu\ouservice\StarMoneyOnlineUpdate.exe [19.11.2010 14:37 549384]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [16.06.2009 21:00 1691480]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\DRIVERS\TwkUsb2K.sys --> c:\windows\system32\DRIVERS\TwkUsb2K.sys [?]
S3 EMVSCARD;EMVSCARD;c:\windows\system32\drivers\EMVSCARD.sys [18.09.2006 16:12 20269]
S3 NmPar;Unusable Parallel Port;c:\windows\system32\drivers\NmPar.sys [09.04.2008 10:28 80512]
S3 nmserial;PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [04.04.2008 08:30 70016]
S3 PinnacleMarvinAVS;Pinnacle AVStream Service for MovieBox Deluxe, 500-USB and 700-USB;c:\windows\system32\drivers\MarvinAVS.sys [06.11.2009 19:17 434176]
S3 Serport;CHIPDRIVE USB Serial Port Emulation;c:\windows\system32\DRIVERS\SERPORT.SYS --> c:\windows\system32\DRIVERS\SERPORT.SYS [?]
S3 TWKPNP;CHIPDRIVE Plug and Play driver;c:\windows\system32\DRIVERS\TWKPNP.SYS --> c:\windows\system32\DRIVERS\TWKPNP.SYS [?]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [03.01.2009 23:20 845184]
S3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
S3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S4 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [02.09.2009 20:53 187456]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - uphcleanhlp
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
2008-06-18 14:04        8192        -c--a-w-        c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
2011-05-31 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2011-05-29 09:28]
.
2011-05-31 c:\windows\Tasks\User_Feed_Synchronization-{5C05DCC7-958F-4A69-B262-FEE3F8700835}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
2011-05-31 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-09 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.178.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-31 21:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
c:\windows\system32\logs
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
"ImagePath"="\"c:\programme\
[verify-U] AVS\[verify-U]-Service.exe\""
.
"ImagePath"="system32\drivers\
[verify-U]-driver.sys"
.
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]]
"ImagePath"="\"c:\programme\
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]_System]
"ImagePath"="system32\drivers\
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="F092E9D6FE25D69E8AAAEC1ADC06820244A583B96C4AA1FD5CDCF6DB3182413F700E31D6F379082452FDDCFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79335D575E7D6A3B9808A6A0AC4980AC79338EDD5E5BE2F6E667259D5A05B746AA094B96CEAE1EE1E8084BA461F888D3D6FEA4F7096B1CFB590F752C077CBDCBC462514D60A85105FAC96866A619C61F59EC76A98EDA71A800060E1C5AA3BCC75935A5DD93A91FC203D803FA0D886E9AF97E6B4A433A7A341AE52768811C75167287DCADD804B42F62392DCE6A693D340BDAAE73821C9E0811922B70F8861E382CA0BC06F38AB50688B52B35E8E16200F2EAA29F78963930603A39FA940DDD53398BC2957D973723FC5B75E4841AFD34AD5E5D2EA7449B5B984A222FFA5B54AEDE9B1C6BDF07C20AD97AB7F88C40A9ABCAA6A66266C5095FDD756D99271F10397461AD7FDB39D75F4D2852EDA7076F65EDF9FE62DCBA39B268B455AAE60E9703E9B710A8059467EE9A3FDB28CDA34F04CD5115BC0ACCD970054249B65FDE63C0BEB90CA6C37F5725165B1B6C4C4F3B4FB46D505E40A4095A139CEA76844DE04B88C6A319D2E60314AB5D8C66C2C71A3103CEC89B24F0DAD3088791852218EF2070840A86C1BDB6F0596B612428CE47B82CBACC2B306558E4EA0B47E4D784E760B4DAA4D776F43597306EFD96C2AA921937BC5E2931B87DB85870C9F917590F4FA57491DAA5893484D813FB16B024BD29BFA23215CA24B91F80C80C0B2862A45728439EBF5CF4DEDA0BCAA5DCE20980E4F37EB2517066720DA966B5C624EF5885B77A511DFB3852DE96CAFC889CAA86E819A77B276DC4FD99295F203BFAD44F09DE92DE6C37D821FADD8C369B79DFEDF8043660BF5F82A8806C90D95E6FE8A338C048340B94DFCF3D56CD3A7C638149FDA189662C38ECB2A37498A6089807610C121A6FBAF0D85AD70A0D24F59CEC2180EF43455E3C51D083555A7BF45F9089A11CCC661F7CD32E211992C637B9056FAF044AEC2F08022ACB36FC83C5046891B73B699EC23A682C113465A4D0A3AEA3DF83C77DD986565BC4546B1D7D99756236E13C551302ACAB48A15477B996D2A086ABAA4DFCFAA974E000D55B868624D82415D3F76201BD77063CEE2B4D245F3D3F4925E49CF9D8F8B21C2F85AB85E3C52F6E06ABE3B43CCA32718ADFC830C644C740AC829FEF48E073A32D939EA5A8EEA71BEA4833724D5A56C4426BCFF3FE75840A7C17D1975D19FD20CB367248690D03DADCD6CBE11A4B9ECBF0D5E67B8083FBAE91496285040151B3CACEA0A5A24D5906FC99117D4DB6DEB0B8DAFAA94995D9D0AE71E41D29EB93912DF306C85450680330034797992C0D327EEBD8B05BC66B21591E5018C0A28B0339F1E08F802B"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2496)
c:\windows\system32\msutb.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Microsoft Security Client\Antimalware\MsMpEng.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\[verify-U] AVS\[verify-U]-Software.exe
c:\progra~1\Microsoft ActiveSync\rapimgr.exe
c:\programme\UPHClean\uphclean.exe
c:\programme\[verify-U] AVS\[verify-U]-Service.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-31  21:44:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-31 19:44
ComboFix2.txt  2011-05-29 11:13
ComboFix3.txt  2011-05-29 07:59
.
Vor Suchlauf: 22 Verzeichnis(se), 210.524.622.848 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 210.516.590.592 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
; This boot.ini was automatically generated by NeoSmart Technologies' BootGrabber.exe
; Use EasyBCD from hxxp://neosmart.net/dl.php?id=1 to manage your bootloader
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Windows XP on D:\" /fastdetect
.
- - End Of File - - 30C94C76A78F15CE5CD2C59193A19514
--- --- ---

Realbiker 01.06.2011 15:17
Ist irgendwas auffälliges im Logfile? Ein Bootkit Sinowal wurde gefunden und entfernt -oder ?

cosinus 01.06.2011 15:26
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Realbiker 01.06.2011 15:33
TDSSKiller meldet keinen fund. Hier der Inhalt des Log-Files:
2011/06/01 16:30:00.0953 1824 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/01 16:30:01.0078 1824 ================================================================================
2011/06/01 16:30:01.0078 1824 SystemInfo:
2011/06/01 16:30:01.0078 1824
2011/06/01 16:30:01.0078 1824 OS Version: 5.1.2600 ServicePack: 3.0
2011/06/01 16:30:01.0078 1824 Product type: Workstation
2011/06/01 16:30:01.0078 1824 ComputerName: SERVER
2011/06/01 16:30:01.0078 1824 UserName: XXXXX
2011/06/01 16:30:01.0078 1824 Windows directory: C:\WINDOWS
2011/06/01 16:30:01.0078 1824 System windows directory: C:\WINDOWS
2011/06/01 16:30:01.0078 1824 Processor architecture: Intel x86
2011/06/01 16:30:01.0078 1824 Number of processors: 4
2011/06/01 16:30:01.0078 1824 Page size: 0x1000
2011/06/01 16:30:01.0078 1824 Boot type: Normal boot
2011/06/01 16:30:01.0078 1824 ================================================================================
2011/06/01 16:30:04.0203 1824 Initialize success
2011/06/01 16:30:09.0625 2832 ================================================================================
2011/06/01 16:30:09.0625 2832 Scan started
2011/06/01 16:30:09.0625 2832 Mode: Manual;
2011/06/01 16:30:09.0625 2832 ================================================================================
2011/06/01 16:30:10.0375 2832 ACEDRV09 (ec818aed40e3359fe49ddb1700151e56) C:\WINDOWS\system32\drivers\ACEDRV09.sys
2011/06/01 16:30:10.0437 2832 acedrv11 (a6fe70357a68ad1e279cd1012419cce6) C:\WINDOWS\system32\drivers\acedrv11.sys
2011/06/01 16:30:10.0484 2832 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/01 16:30:10.0531 2832 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/06/01 16:30:10.0578 2832 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/06/01 16:30:10.0609 2832 afcdp (53696ad8ffc5fac51949a525ff65a689) C:\WINDOWS\system32\DRIVERS\afcdp.sys
2011/06/01 16:30:10.0640 2832 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/06/01 16:30:10.0718 2832 Ambfilt (267fc636801edc5ab28e14036349e3be) C:\WINDOWS\system32\drivers\Ambfilt.sys
2011/06/01 16:30:10.0765 2832 amdide (6e58654cb25730b2579e45e1fd116a47) C:\WINDOWS\system32\DRIVERS\amdide.sys
2011/06/01 16:30:10.0812 2832 AmdPPM (033448d435e65c4bd72e70521fd05c76) C:\WINDOWS\system32\DRIVERS\AmdPPM.sys
2011/06/01 16:30:10.0843 2832 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/06/01 16:30:10.0890 2832 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/01 16:30:10.0906 2832 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/01 16:30:10.0937 2832 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/01 16:30:10.0968 2832 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/01 16:30:11.0000 2832 avmaudio (728c4a6c722535c16d1025f51aa31e22) C:\WINDOWS\system32\DRIVERS\avmaudio.sys
2011/06/01 16:30:11.0031 2832 avmaura (728c4a6c722535c16d1025f51aa31e22) C:\WINDOWS\system32\DRIVERS\avmaura.sys
2011/06/01 16:30:11.0078 2832 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/01 16:30:11.0109 2832 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/01 16:30:11.0156 2832 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/06/01 16:30:11.0187 2832 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/01 16:30:11.0234 2832 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/01 16:30:11.0250 2832 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/01 16:30:11.0312 2832 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/01 16:30:11.0343 2832 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/01 16:30:11.0359 2832 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\DRIVERS\dmio.sys
2011/06/01 16:30:11.0375 2832 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/01 16:30:11.0390 2832 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/01 16:30:11.0406 2832 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/01 16:30:11.0453 2832 EMVSCARD (19d61bb8773dac8f006c64dac3804acf) C:\WINDOWS\system32\Drivers\EMVSCARD.sys
2011/06/01 16:30:11.0468 2832 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/01 16:30:11.0484 2832 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/06/01 16:30:11.0500 2832 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/01 16:30:11.0531 2832 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/06/01 16:30:11.0546 2832 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/06/01 16:30:11.0578 2832 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/01 16:30:11.0593 2832 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/01 16:30:11.0609 2832 gdrv (d556cb79967e92b5cc69686d16c1d846) C:\WINDOWS\gdrv.sys
2011/06/01 16:30:11.0656 2832 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/06/01 16:30:11.0687 2832 giveio (77ebf3e9386daa51551af429052d88d0) C:\WINDOWS\system32\giveio.sys
2011/06/01 16:30:11.0734 2832 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/01 16:30:11.0750 2832 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/06/01 16:30:11.0765 2832 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/01 16:30:11.0812 2832 hotcore3 (6efbeeb6b7e51fffa5c4ac1e7a69b0bd) C:\WINDOWS\system32\DRIVERS\hotcore3.sys
2011/06/01 16:30:11.0843 2832 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/01 16:30:11.0890 2832 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/06/01 16:30:11.0906 2832 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/01 16:30:12.0046 2832 IntcAzAudAddService (5707cec38db61b96079e6a14b4702446) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/06/01 16:30:12.0093 2832 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/06/01 16:30:12.0125 2832 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/01 16:30:12.0140 2832 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/01 16:30:12.0171 2832 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/01 16:30:12.0171 2832 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/01 16:30:12.0187 2832 irda (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys
2011/06/01 16:30:12.0218 2832 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/01 16:30:12.0250 2832 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/01 16:30:12.0265 2832 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/01 16:30:12.0296 2832 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/01 16:30:12.0312 2832 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/01 16:30:12.0359 2832 MarvinBus (a3e700d78eec390f1208098cdca5c6b6) C:\WINDOWS\system32\DRIVERS\MarvinBus.sys
2011/06/01 16:30:12.0390 2832 mf (a7da20ab18a1bdae28b0f349e57da0d1) C:\WINDOWS\system32\DRIVERS\mf.sys
2011/06/01 16:30:12.0421 2832 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/01 16:30:12.0437 2832 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/01 16:30:12.0484 2832 monfilt (c7d9f9717916b34c1b00dd4834af485c) C:\WINDOWS\system32\drivers\monfilt.sys
2011/06/01 16:30:12.0531 2832 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/01 16:30:12.0562 2832 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/01 16:30:12.0578 2832 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/01 16:30:12.0593 2832 MpFilter (7e34bfa1a7b60bba1da03d677f16cd63) C:\WINDOWS\system32\DRIVERS\MpFilter.sys
2011/06/01 16:30:12.0687 2832 MpKslce7cfe31 (5f53edfead46fa7adb78eee9ecce8fdf) c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{F2E4D055-34BF-4FE9-ACE7-61476D7D7D87}\MpKslce7cfe31.sys
2011/06/01 16:30:12.0703 2832 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/01 16:30:12.0750 2832 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/01 16:30:12.0765 2832 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/01 16:30:12.0781 2832 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/01 16:30:12.0796 2832 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/01 16:30:12.0812 2832 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/01 16:30:12.0843 2832 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/01 16:30:12.0859 2832 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/06/01 16:30:12.0890 2832 MTsensor (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
2011/06/01 16:30:12.0906 2832 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/01 16:30:12.0937 2832 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/06/01 16:30:12.0968 2832 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/01 16:30:12.0984 2832 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/06/01 16:30:13.0015 2832 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/01 16:30:13.0031 2832 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/01 16:30:13.0046 2832 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/01 16:30:13.0062 2832 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/01 16:30:13.0078 2832 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/01 16:30:13.0093 2832 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/01 16:30:13.0125 2832 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/06/01 16:30:13.0156 2832 NmPar (46253ca6d525c9d90a3dbf0ba0398bc9) C:\WINDOWS\system32\DRIVERS\NmPar.sys
2011/06/01 16:30:13.0171 2832 nmserial (191b4980371e24dc0fed7124155d9400) C:\WINDOWS\system32\DRIVERS\nmserial.sys
2011/06/01 16:30:13.0203 2832 nmwcd (48fb907b069524f2dc7ba62a0762850c) C:\WINDOWS\system32\drivers\ccdcmb.sys
2011/06/01 16:30:13.0218 2832 nmwcdc (2914ceb789964141ac6e22c6bc980c42) C:\WINDOWS\system32\drivers\ccdcmbo.sys
2011/06/01 16:30:13.0234 2832 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/01 16:30:13.0250 2832 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/01 16:30:13.0296 2832 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/01 16:30:13.0328 2832 nusb3hub (68c890ddb21028cb1ea5551b47b29e1b) C:\WINDOWS\system32\DRIVERS\nusb3hub.sys
2011/06/01 16:30:13.0343 2832 nusb3xhc (2cf970c1a9e05d3b91039c2dd4471c0e) C:\WINDOWS\system32\DRIVERS\nusb3xhc.sys
2011/06/01 16:30:13.0562 2832 nv (ed9816dbaf6689542ea7d022631906a1) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/06/01 16:30:13.0765 2832 NVENETFD (70217a23470f4bb4c8fb4abe06813081) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2011/06/01 16:30:13.0796 2832 nvnetbus (be8513730653384939a4d2d977c81027) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2011/06/01 16:30:13.0828 2832 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/01 16:30:13.0843 2832 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/01 16:30:13.0890 2832 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/06/01 16:30:13.0921 2832 ousb2hub (2fadd6e3aeaff1a6b84b8d304c395bd5) C:\WINDOWS\system32\DRIVERS\ousb2hub.sys
2011/06/01 16:30:13.0968 2832 ousbehci (961414dacb73858b0a2e9075ab2d1ea8) C:\WINDOWS\system32\Drivers\ousbehci.sys
2011/06/01 16:30:14.0015 2832 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/06/01 16:30:14.0031 2832 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/01 16:30:14.0062 2832 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/01 16:30:14.0093 2832 pccsmcfd (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/06/01 16:30:14.0093 2832 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/01 16:30:14.0125 2832 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/06/01 16:30:14.0140 2832 PCLEPCI (1bebe7de8508a02650cdce45c664c2a2) C:\WINDOWS\system32\drivers\pclepci.sys
2011/06/01 16:30:14.0187 2832 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/01 16:30:14.0265 2832 PinnacleMarvinAVS (c463f4e36e7a90bed38483939adab014) C:\WINDOWS\system32\DRIVERS\MarvinAVS.sys
2011/06/01 16:30:14.0328 2832 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/01 16:30:14.0328 2832 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/06/01 16:30:14.0343 2832 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/01 16:30:14.0359 2832 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/01 16:30:14.0421 2832 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/01 16:30:14.0468 2832 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys
2011/06/01 16:30:14.0468 2832 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/01 16:30:14.0484 2832 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/01 16:30:14.0484 2832 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/01 16:30:14.0500 2832 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/01 16:30:14.0515 2832 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/01 16:30:14.0531 2832 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/06/01 16:30:14.0562 2832 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/01 16:30:14.0625 2832 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/01 16:30:14.0687 2832 ROOTMODEM (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys
2011/06/01 16:30:14.0796 2832 RTLE8023xp (c6d34a1874cd2b212dc3e788091c64b4) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
2011/06/01 16:30:14.0828 2832 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/01 16:30:14.0906 2832 Ser2pl (a59e73bcb63f4f30183cf0a22c29faf5) C:\WINDOWS\system32\DRIVERS\ser2pl.sys
2011/06/01 16:30:14.0968 2832 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/06/01 16:30:15.0000 2832 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/06/01 16:30:15.0031 2832 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/01 16:30:15.0062 2832 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/06/01 16:30:15.0109 2832 snapman (eb49860e776ce860dc3cfb9edb1ba517) C:\WINDOWS\system32\DRIVERS\snapman.sys
2011/06/01 16:30:15.0140 2832 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/01 16:30:15.0156 2832 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/01 16:30:15.0171 2832 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/01 16:30:15.0203 2832 SSHDRV84 (cfc9b1ca57b41323a721d5f01fb2f899) C:\WINDOWS\system32\drivers\SSHDRV84.sys
2011/06/01 16:30:15.0234 2832 StarOpen (306521935042fc0a6988d528643619b3) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/06/01 16:30:15.0265 2832 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/06/01 16:30:15.0281 2832 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/01 16:30:15.0328 2832 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/01 16:30:15.0375 2832 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/01 16:30:15.0406 2832 tbhsd (f03ed3bf512be849daa1f6131eb50fb4) C:\WINDOWS\system32\drivers\tbhsd.sys
2011/06/01 16:30:15.0437 2832 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/01 16:30:15.0468 2832 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/01 16:30:15.0515 2832 tdrpman273 (431801fcc97034e04a6eff81136578d7) C:\WINDOWS\system32\DRIVERS\tdrpm273.sys
2011/06/01 16:30:15.0578 2832 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/01 16:30:15.0593 2832 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/01 16:30:15.0625 2832 timounter (a34d7024bb7140ec785c86bc065d4f60) C:\WINDOWS\system32\DRIVERS\timntr.sys
2011/06/01 16:30:15.0656 2832 TwkMs (8c7d0928b76dc2b8235995a01ce33037) C:\WINDOWS\system32\drivers\TwkMs.sys
2011/06/01 16:30:15.0703 2832 TWKSER2K (be910aceab65fa3ae67ae98b19fcac4b) C:\WINDOWS\system32\DRIVERS\TWKSER2K.sys
2011/06/01 16:30:15.0750 2832 ubohci (9dd333fa5746c222bbb58ab704c78ba5) C:\WINDOWS\system32\DRIVERS\ubohci.sys
2011/06/01 16:30:15.0796 2832 ubsbm (1bd61b9ac6756c58fd88fc74dcf1bd85) C:\WINDOWS\system32\DRIVERS\ubsbm.sys
2011/06/01 16:30:15.0796 2832 ubumapi (64461004a7e6a59f222b45d74a164556) C:\WINDOWS\system32\DRIVERS\ubumapi.sys
2011/06/01 16:30:15.0828 2832 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/01 16:30:15.0875 2832 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/01 16:30:15.0906 2832 upperdev (e526a166e6acafd0a9b3841d3941669e) C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys
2011/06/01 16:30:15.0953 2832 USBAAPL (5c2bdc152bbab34f36473deaf7713f22) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/06/01 16:30:15.0968 2832 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/06/01 16:30:16.0000 2832 usbbus (9419faac6552a51542dbba02971c841c) C:\WINDOWS\system32\DRIVERS\lgusbbus.sys
2011/06/01 16:30:16.0031 2832 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/01 16:30:16.0046 2832 UsbDiag (c0a466fa4ffec464320e159bc1bbdc0c) C:\WINDOWS\system32\DRIVERS\lgusbdiag.sys
2011/06/01 16:30:16.0078 2832 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/01 16:30:16.0109 2832 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/01 16:30:16.0140 2832 USBModem (f74a54774a9b0afeb3c40adec68aa600) C:\WINDOWS\system32\DRIVERS\lgusbmodem.sys
2011/06/01 16:30:16.0156 2832 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/06/01 16:30:16.0156 2832 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/06/01 16:30:16.0203 2832 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/06/01 16:30:16.0234 2832 usbser (1c888b000c2f9492f4b15b5b6b84873e) C:\WINDOWS\system32\drivers\usbser.sys
2011/06/01 16:30:16.0265 2832 UsbserFilt (6f3e3c6811b930d2414552a2e4a40f36) C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys
2011/06/01 16:30:16.0281 2832 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/01 16:30:16.0296 2832 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/06/01 16:30:16.0328 2832 VIAHdAudAddService (51b24990850076f659d1d1daefbed6f1) C:\WINDOWS\system32\drivers\viahduaa.sys
2011/06/01 16:30:16.0406 2832 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/01 16:30:16.0453 2832 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/01 16:30:16.0484 2832 wceusbsh (46a247f6617526afe38b6f12f5512120) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2011/06/01 16:30:16.0500 2832 Wdf01000 (d918617b46457b9ac28027722e30f647) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/06/01 16:30:16.0546 2832 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/01 16:30:16.0562 2832 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2011/06/01 16:30:16.0609 2832 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/06/01 16:30:16.0625 2832 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/06/01 16:30:16.0656 2832 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/06/01 16:30:16.0687 2832 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/06/01 16:30:16.0734 2832 [verify-U]_System (a505ff145d2c056be52bfa7670d09525) C:\WINDOWS\system32\drivers\[verify-U]-driver.sys
2011/06/01 16:30:16.0765 2832 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
2011/06/01 16:30:16.0859 2832 MBR (0x1B8) (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk1\DR1
2011/06/01 16:30:16.0906 2832 MBR (0x1B8) (05dbe5b07b92c110ded8d90484a5046e) \Device\Harddisk2\DR5
2011/06/01 16:30:17.0843 2832 MBR (0x1B8) (6ee9dc7b23938b1239c57a84a04cd2c9) \Device\Harddisk3\DR6
2011/06/01 16:30:19.0031 2832 ================================================================================
2011/06/01 16:30:19.0031 2832 Scan finished
2011/06/01 16:30:19.0031 2832 ================================================================================
2011/06/01 16:30:19.0031 1840 Detected object count: 0
2011/06/01 16:30:19.0031 1840 Actual detected object count: 0

cosinus 01.06.2011 19:57
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Realbiker 01.06.2011 20:19
hier das Ergebnis von MBR-Check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000005d

Kernel Drivers (total 146):
0x80800000 \WINDOWS\system32\ntkrnlpa.exe
0x80A0F000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7F78000 ACPI.sys
0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB7F67000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7F48000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7F22000 dmio.sys
0xB8671000 amdide.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7F0A000 atapi.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7EEA000 fltmgr.sys
0xB7ED8000 sr.sys
0xB7EC1000 KSecDD.sys
0xB7EAE000 WudfPf.sys
0xB85AE000 TwkMs.sys
0xB7E21000 Ntfs.sys
0xB7DF4000 NDIS.sys
0xB7D62000 timntr.sys
0xB7CAC000 tdrpm273.sys
0xB7C84000 snapman.sys
0xB80F8000 ohci1394.sys
0xB8108000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xB7C6A000 Mup.sys
0xB8338000 hotcore3.sys
0xB8228000 \SystemRoot\system32\DRIVERS\AmdPPM.sys
0xB341B000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB2941000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB292D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB290B000 \SystemRoot\system32\DRIVERS\nusb3xhc.sys
0xB85E8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB28D4000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB8238000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB8248000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB8258000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB28B1000 \SystemRoot\system32\DRIVERS\ks.sys
0xB83E8000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xB83F0000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB288D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB8268000 \SystemRoot\System32\Drivers\ousbehci.sys
0xB2865000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB2852000 \SystemRoot\system32\DRIVERS\ubohci.sys
0xB283C000 \SystemRoot\system32\DRIVERS\UB1394.SYS
0xB83F8000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB8278000 \SystemRoot\system32\DRIVERS\serial.sys
0xB3413000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB2828000 \SystemRoot\system32\DRIVERS\parport.sys
0xB8288000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB8400000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB280F000 \SystemRoot\system32\DRIVERS\avmaudio.sys
0xB8408000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB27F6000 \SystemRoot\system32\DRIVERS\avmaura.sys
0xB873D000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB8410000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xB8298000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB3BDA000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB27B7000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB82A8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB82B8000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB27A6000 \SystemRoot\system32\DRIVERS\psched.sys
0xB82C8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB8418000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB8420000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB2776000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB82D8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB8428000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85EA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB2718000 \SystemRoot\system32\DRIVERS\update.sys
0xB3BC2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB26EA000 \SystemRoot\system32\DRIVERS\MarvinBus.sys
0xB33EE000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB33AE000 \SystemRoot\system32\DRIVERS\nusb3hub.sys
0xB8158000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB8188000 \SystemRoot\system32\DRIVERS\ousb2hub.sys
0xAF007000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAEFE3000 \SystemRoot\system32\drivers\portcls.sys
0xB8218000 \SystemRoot\system32\drivers\drmk.sys
0xB84B0000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xAEF7F000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0xB8388000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xAEDB0000 \??\C:\WINDOWS\system32\drivers\SSHDRV84.sys
0xB8634000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB878C000 \SystemRoot\System32\Drivers\Null.SYS
0xB8636000 \SystemRoot\System32\Drivers\Beep.SYS
0xB83B8000 \SystemRoot\System32\drivers\vga.sys
0xB8638000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB863A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83C0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83C8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAF926000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAED56000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAECFD000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAF922000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xAFD8F000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB83D0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xAECD5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAECAF000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAFD7F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAF645000 \SystemRoot\system32\drivers\[verify-U]-driver.sys
0xAEC8D000 \SystemRoot\System32\drivers\afd.sys
0xAFD6F000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB83E0000 \SystemRoot\System32\Drivers\StarOpen.SYS
0xAEC62000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAF635000 \??\C:\WINDOWS\system32\drivers\pclepci.sys
0xAEBF2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAF629000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAF7E4000 \SystemRoot\System32\Drivers\Fips.SYS
0xAE849000 \SystemRoot\system32\DRIVERS\TWKSER2K.sys
0xB27D6000 \SystemRoot\system32\DRIVERS\SMCLIB.SYS
0xAE825000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xAE7E5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB8648000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAEA4F000 \SystemRoot\System32\drivers\Dxapi.sys
0xB1594000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB87FA000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBD61F000 \SystemRoot\System32\ATMFD.DLL
0xAE4E2000 \??\C:\WINDOWS\system32\drivers\ACEDRV09.sys
0xAE454000 \SystemRoot\system32\DRIVERS\irda.sys
0xAE21F000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB85B8000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAE1B4000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys
0xAE05B000 \SystemRoot\System32\Drivers\HTTP.sys
0xADE9B000 \SystemRoot\system32\DRIVERS\srv.sys
0xB8478000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xADE28000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xAD987000 \SystemRoot\system32\DRIVERS\afcdp.sys
0xAD9CB000 \SystemRoot\system32\DRIVERS\ubsbm.sys
0xAE16C000 \SystemRoot\system32\DRIVERS\ubumapi.sys
0xADE24000 \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
0xB157C000 \??\c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{F2E4D055-34BF-4FE9-ACE7-61476D7D7D87}\MpKslce7cfe31.sys
0xAD8B7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAD58A000 \SystemRoot\system32\drivers\wdmaud.sys
0xAD7AF000 \SystemRoot\system32\drivers\sysaudio.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 41):
0 System Idle Process
4 System
1052 C:\WINDOWS\system32\smss.exe
1176 csrss.exe
1216 C:\WINDOWS\system32\winlogon.exe
1260 C:\WINDOWS\system32\services.exe
1272 C:\WINDOWS\system32\lsass.exe
1444 C:\WINDOWS\system32\nvsvc32.exe
1476 C:\WINDOWS\system32\svchost.exe
1560 svchost.exe
1676 C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
1712 C:\WINDOWS\system32\svchost.exe
1756 C:\WINDOWS\system32\svchost.exe
1832 svchost.exe
1956 svchost.exe
416 C:\WINDOWS\system32\spoolsv.exe
500 scardsvr.exe
608 svchost.exe
740 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
752 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
772 C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
804 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
928 C:\Programme\Bonjour\mDNSResponder.exe
1124 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
1236 C:\WINDOWS\system32\svchost.exe
324 C:\Programme\Java\jre6\bin\jqs.exe
1664 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
2988 C:\WINDOWS\system32\svchost.exe
3020 C:\Programme\UPHClean\uphclean.exe
3064 C:\Programme\[verify-U] AVS\[verify-U]-Service.exe
3128 wmpnetwk.exe
3804 alg.exe
4004 C:\WINDOWS\explorer.exe
1764 C:\WINDOWS\RTHDCPL.EXE
2120 C:\Programme\Microsoft Security Client\msseces.exe
3124 C:\Programme\Microsoft ActiveSync\wcescomm.exe
3276 C:\PROGRA~1\Microsoft ActiveSync\rapimgr.exe
3268 C:\WINDOWS\system32\ctfmon.exe
3656 C:\Programme\[verify-U] AVS\[verify-U]-Software.exe
992 wmiprvse.exe
4068 C:\Dokumente und Einstellungen\XXXXX\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000003d`8ea00000 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD5000AAVS-00ZTB0, Rev: 01.01B01
PhysicalDrive1 Model Number: SAMSUNGHD400LD, Rev: WQ100-14

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
372 GB \\.\PhysicalDrive1 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

cosinus 01.06.2011 21:37
Die MBRs sehen schon ok aus. Postest die anderen Logs ja auch noch oder? ;)

Realbiker 03.06.2011 13:37
hier schon mal das Log vom GMER:
GMER Logfile:
Code:
GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-03 14:33:56
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD5000AAVS-00ZTB0 rev.01.01B01
Running: srn154ot.exe; Driver: C:\DOKUME~1\XXXX\LOKALE~1\Temp\kwtdypod.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                                    ZwUnloadKey [0xAD8916D0]

---- Kernel code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                            section is writeable [0xB2ABA3A0, 0x59FFE5, 0xE8000020]
.text          C:\WINDOWS\system32\drivers\SSHDRV84.sys                                                                            section is writeable [0xAEE5C000, 0x233D4, 0xE8000020]
.pklstb        C:\WINDOWS\system32\drivers\SSHDRV84.sys                                                                            entry point in ".pklstb" section [0xAEE8E000]
.relo2          C:\WINDOWS\system32\drivers\SSHDRV84.sys                                                                            unknown last section [0xAEEA4000, 0x8E, 0x42000040]
.text          C:\WINDOWS\system32\drivers\ACEDRV09.sys                                                                            section is writeable [0xAE798000, 0x3326E, 0xE8000020]
.pklstb        C:\WINDOWS\system32\drivers\ACEDRV09.sys                                                                            entry point in ".pklstb" section [0xAE7DD000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV09.sys                                                                            unknown last section [0xAE7F9000, 0x8E, 0x42000040]
.reloc          C:\WINDOWS\system32\drivers\acedrv11.sys                                                                            section is executable [0xAE2FA300, 0x25D4C, 0xE0000060]
?              C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                                        Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                              tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            [verify-U]-driver.sys ([verify-U]-Driver Component/Cybits AG)

Device          \Driver\ubohci \Device\UBOHCI0                                                                                      UB1394.SYS (FireAPI® 1394 Class Driver (XP)/Unibrain S.A.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                          [verify-U]-driver.sys ([verify-U]-Driver Component/Cybits AG)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                              tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                              hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                              tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                              hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)

Device          \Driver\ubohci \Device\C1394                                                                                        UB1394.SYS (FireAPI® 1394 Class Driver (XP)/Unibrain S.A.)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                          [verify-U]-driver.sys ([verify-U]-Driver Component/Cybits AG)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                        [verify-U]-driver.sys ([verify-U]-Driver Component/Cybits AG)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                             
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION                               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
Reg            HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x6A 0x9C 0xD6 0x61 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x7A 0x45 0x05 0xFD ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x86 0x8C 0x21 0x01 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xCD 0x44 0xCD 0xB9 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xDF 0x20 0x58 0x62 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0xAA 0x52 0xC6 0x00 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0xB2 0x46 0x9A 0xE2 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0xB1 0xCD 0x45 0x5A ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xE3 0x0E 0x66 0xD5 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                 
Reg            HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x6C 0x43 0x2D 0x1E ...

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                              malicious Win32:MBRoot code @ sector 976768068
Disk            \Device\Harddisk0\DR0                                                                                              PE file @ sector 976768090

---- EOF - GMER 1.0.15 ----
--- --- ---

Realbiker 03.06.2011 13:44
und das OSAM:
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:42:45 on 03.06.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GlaryInitialize.job" - "Glarysoft Ltd" - C:\Programme\Glary Utilities\initialize.exe
"WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
"viahdcpl.cpl" - "VIA Technologies, Inc" - C:\WINDOWS\system32\viahdcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ACEDRV09" (ACEDRV09) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\ACEDRV09.sys
"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis Try&Decide and Restore Points filter (build 273)" (tdrpman273) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm273.sys
"afcdp" (afcdp) - "Acronis" - C:\WINDOWS\System32\DRIVERS\afcdp.sys
"AVM Audio" (avmaudio) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\avmaudio.sys
"AVM USB-Fernanschluss" (avmaura) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\avmaura.sys
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"CHIPDRIVE Plug and Play driver" (TWKPNP) - ? - C:\WINDOWS\System32\DRIVERS\TWKPNP.SYS  (File not found)
"CHIPDRIVE Serial SmartCardReader" (TWKSER2K) - "SCM Microsystems Inc." - C:\WINDOWS\System32\DRIVERS\TWKSER2K.sys
"CHIPDRIVE USB Serial Port Emulation" (Serport) - ? - C:\WINDOWS\System32\DRIVERS\SERPORT.SYS  (File not found)
"CHIPDRIVE USB SmartCardReader" (CHIPDRIVE USB SmartCardReader) - ? - C:\WINDOWS\System32\DRIVERS\TwkUsb2K.sys  (File not found)
"gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\gdrv.sys
"giveio" (giveio) - ? - C:\WINDOWS\system32\giveio.sys  (File found, but it contains no detailed information)
"hc3ServiceName" (hotcore3) - "Paragon Software Group" - C:\WINDOWS\System32\DRIVERS\hotcore3.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"IPSEC-Treiber" (xpsec) - ? - C:\WINDOWS\system32\drivers\xpsec.sys  (File not found)
"kwtdypod" (kwtdypod) - ? - C:\DOKUME~1\XXXX~1\LOKALE~1\Temp\kwtdypod.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Microsoft serieller Infrarottreiber" (irsir) - ? - C:\WINDOWS\System32\DRIVERS\irsir.sys  (File not found)
"MpKsl8293f020" (MpKsl8293f020) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D7286375-9FB7-4A82-99AB-07FA95EE68D7}\MpKsl8293f020.sys  (File not found)
"MpKslf3203388" (MpKslf3203388) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{0988F5B2-BC50-48C9-91A0-A9425D51E14F}\MpKslf3203388.sys  (File not found)
"OrangeWare USB 2.0 Root Hub Support" (ousb2hub) - "OrangeWare Corporation" - C:\WINDOWS\System32\DRIVERS\ousb2hub.sys
"OrangeWare USB Enhanced Host Controller Service" (ousbehci) - "OrangeWare Corporation" - C:\WINDOWS\System32\Drivers\ousbehci.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PCLEPCI" (PCLEPCI) - "Pinnacle Systems GmbH" - C:\WINDOWS\system32\drivers\pclepci.sys
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Pinnacle Marvin Bus" (MarvinBus) - "Pinnacle Systems GmbH" - C:\WINDOWS\System32\DRIVERS\MarvinBus.sys
"Prolific Serial port driver" (Ser2pl) - "Prolific Technology Inc." - C:\WINDOWS\System32\DRIVERS\ser2pl.sys
"SSHDRV84" (SSHDRV84) - ? - C:\WINDOWS\system32\drivers\SSHDRV84.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"TCP/IP-Protokolltreiber" (xcpip) - ? - C:\WINDOWS\system32\drivers\xcpip.sys  (File not found)
"Tunebite High-Speed Dubbing" (tbhsd) - "RapidSolution Software AG" - C:\WINDOWS\System32\drivers\tbhsd.sys
"TwkMs" (TwkMs) - "Towitoko AG" - C:\WINDOWS\system32\drivers\TwkMs.sys
"Unibrain 1394 FireAPI Driver" (ubumapi) - "Unibrain S.A." - C:\WINDOWS\System32\DRIVERS\ubumapi.sys
"Unibrain 1394 OHCI Driver" (ubohci) - "Unibrain S.A." - C:\WINDOWS\System32\DRIVERS\ubohci.sys
"Unibrain 1394 SBM Driver" (ubsbm) - "Unibrain S.A." - C:\WINDOWS\System32\DRIVERS\ubsbm.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"[verify-U]_System" ([verify-U]_System) - "Cybits AG" - C:\WINDOWS\System32\drivers\[verify-U]-driver.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC} "PixiePack Codec Pack 1.0.100.0" - ? - C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{7D4D6379-F301-4311-BEBA-E26EB0561882} "{7D4D6379-F301-4311-BEBA-E26EB0561882}" - ? -  (File not found | COM-object registry key not found)
{9E96C1F5-0EFA-4348-9460-15D6802C70AA} "{9E96C1F5-0EFA-4348-9460-15D6802C70AA}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis Secure Zone" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
 "CorelDRAW Shell Extension Component" - ? -  (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{09A47860-11B0-4DA5-AFA5-26D86198A780} "EPP" - "Microsoft Corporation" - c:\PROGRA~1\Microsoft Security Client\shellext.dll
{72923739-5A47-40A3-9895-25AF0DFBB9E4} "Glary Utilities Context Menu Shell Extension" - "Glarysoft Ltd" - C:\PROGRA~1\GLARYU~1\CONTEX~1.DLL
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\Microsoft ActiveSync\Wcesview.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler" - ? -  (File not found | COM-object registry key not found)
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler" - ? -  (File not found | COM-object registry key not found)
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -  (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{79BC0345-1015-11D2-A299-006008312725} "Studio.Project" - ? - C:\Programme\Pinnacle\Studio 10\programs\BlueShellExt.dll  (File found, but it contains no detailed information)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -  (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -  (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{17A84966-F1E9-4645-AA9E-5E771EE1C859} "Add to VideoGet" - "Nuclear Coffee Software" - C:\PROGRA~1\Nuclear Coffee\VideoGet\Plugins\VideoGet_IE.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
"Exec" - ? - C:\WINDOWS\bdoscandel.exe  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{98889811-442D-49dd-99D7-DC866BE87DBC} "Babylon Toolbar" - "Babylon Ltd." - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarTlbr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{2EECD738-5844-4a99-B4B6-146BF802613B} "CescrtHlpr Object" - "Babylon BHO" - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.23.10\bh\BabylonToolbar.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AA102584-3B97-47e7-B9BC-75D54C110A7D} "Tunebite_WebRipPlugin Class" - "RapidSolution Software" - C:\Programme\RapidSolution\Tunebite\plugins\IE\TB_WebRipIePlugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{F4552A56-119C-478E-AB3F-2C850F78B72E} "[verify-U]_Add-on" - "Cybits AG" - C:\Programme\[verify-U]_AVS_IE_Add-on\[verify-U]_AVS.dll
{02478D38-C3F9-4efb-9B51-7695ECA05670} "{02478D38-C3F9-4efb-9B51-7695ECA05670}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"[verify-U]-Software.lnk" - ? - C:\Programme\[verify-U] AVS\[verify-U]-Software.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\XXXX\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"1&1 SMS-Manager" - "1&1 Internet AG" - C:\Programme\1&1\SMS-Manager\SMSMngr.exe
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"BabylonToolbar" - "Babylon Ltd." - "C:\Programme\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarsrv.exe" /md I
"MSC" - "Microsoft Corporation" - "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"nwiz" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"FRITZ!fax Color Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaColorMon.dll
"FRITZ!fax Port Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaMon.dll
"GEngine Port Monitor" - ? - C:\WINDOWS\system32\gengpmon.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"AAV UpdateService" (AAV UpdateService) - ? - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
"Acronis Nonstop Backup-Dienst" (afcdpsrv) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
"Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"StarMoney 7.0 OnlineUpdate" (StarMoney 7.0 OnlineUpdate) - "Star Finanz - Software Entwicklung und Vertriebs GmbH" - C:\Programme\StarMoney 7.0 S-Edition-neu\ouservice\StarMoneyOnlineUpdate.exe
"User Profile Hive Cleanup" (UPHClean) - "Microsoft Corporation" - C:\Programme\UPHClean\uphclean.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"[verify-U]-Service" ([verify-U]) - "Cybit AG" - C:\Programme\[verify-U] AVS\[verify-U]-Service.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

cosinus 03.06.2011 18:48
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Realbiker 04.06.2011 11:32
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6768

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.06.2011 12:15:14
mbam-log-2011-06-04 (12-15-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 416126
Laufzeit: 48 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Realbiker 04.06.2011 11:33
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 06/04/2011 bei 09:41 AM

Version der Applikation : 4.53.1000

Version der Kern-Datenbank : 7200
Version der Spur-Datenbank : 5012

Scan Art : Schneller Scann
Totale Scann-Zeit : 01:03:00

Gescannte Speicherelemente : 461
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 1673
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 117965
Erfasste Datei-Elemente : 0

cosinus 04.06.2011 12:20
Zitat:
Scan Art : Schneller Scann
Du solltest einen vollen Scan machen...

Realbiker 04.06.2011 14:25
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6522
# api_version=3.0.2
# EOSSerial=e2da482cc6b7694bb236a7d7064c82d3
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-04 12:09:36
# local_time=2011-06-04 02:09:36 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 33587521 33587521 0 0
# compatibility_mode=5891 16776869 42 87 12424 19231837 0 0
# compatibility_mode=8192 67108863 100 0 74 74 0 0
# scanned=204459
# found=0
# cleaned=0
# scan_time=5601

Realbiker 04.06.2011 16:50
Sorry, hatte nicht die Pro-Version geladen.
hier nun der Log vom Fullscan:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/04/2011 at 05:21 PM

Application Version : 4.53.1000

Core Rules Database Version : 7200
Trace Rules Database Version: 5012

Scan type : Complete Scan
Total Scan Time : 00:47:22

Memory items scanned : 494
Memory threats detected : 0
Registry items scanned : 9714
Registry threats detected : 0
File items scanned : 49920
File threats detected : 3

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\xxxx\Cookies\xxxx@adtech[1].txt
C:\Dokumente und Einstellungen\xxxx\Cookies\xxxx@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\xxxx\Cookies\xxxx@ad2.adfarm1.adition[2].txt

Das Problem mit dem Google-Fenster ist scheinbar behoben. Kann es mit dem vom Combofix gefundendenen Bootkit Sinowal zusammen gehangen haben? - Ansonsten scheint der Rechner jetzt doch wieder sauber zu sein - oder?

cosinus 05.06.2011 12:27
Zitat:
Kann es mit dem vom Combofix gefundendenen Bootkit Sinowal zusammen gehangen haben? - Ansonsten scheint der Rechner jetzt doch wieder sauber zu sein - oder?
Ja, der Sinowal kann sehr wahrscheinlich der Grund gewesen sein.
Rechner ist wieder im Lot? SASW hat auch nur noch Cookies gefunden und ESET garnichts mehr.

Realbiker 05.06.2011 14:30
Ich werde den Rechner mal weiter beobachten und melde mich dann mit dem Ergebnis. Als Virenschutz habe ich ja die Microsoft Security Essentials. Sollte doch eigentlich ausreichen - oder?

Vorerst danke ich für die hilfreiche Unterstützung.

Viele Grüße
Realbiker

cosinus 05.06.2011 15:04
Zitat:
Als Virenschutz habe ich ja die Microsoft Security Essentials. Sollte doch eigentlich ausreichen - oder?
Ja reicht dicke.

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131