TR Windows Recovery

Flagelated · 23.06.2011, 22:28

Nr 1

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-23 23:24:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS542512K9SA00 rev.BB2OC31P
Running: gmer.exe; Driver: C:\DOKUME~1\ZZZ\LOKALE~1\Temp\pgtdipob.sys


---- System - GMER 1.0.15 ----

SSDT            F7AED25E                                 ZwCreateKey
SSDT            F7AED254                                 ZwCreateThread
SSDT            F7AED263                                 ZwDeleteKey
SSDT            F7AED26D                                 ZwDeleteValueKey
SSDT            F7AED272                                 ZwLoadKey
SSDT            F7AED240                                 ZwOpenProcess
SSDT            F7AED245                                 ZwOpenThread
SSDT            F7AED27C                                 ZwReplaceKey
SSDT            F7AED277                                 ZwRestoreKey
SSDT            F7AED268                                 ZwSetValueKey

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \FileSystem\Fastfat \Fat                 B6EEAD20
Device          \FileSystem\Fastfat \Fat                 B6F02631

AttachedDevice  \FileSystem\Fastfat \Fat                 InCDrec.SYS (InCD File System Recognizer/Nero AG)

---- EOF - GMER 1.0.15 ----

--- --- ---

Nr.2

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:33:55 on 23.06.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17098

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\ZZZ\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ghaio" (ghaio) - ? - C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDFs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDRm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{2F5AC606-70CF-461C-BFE1-6063670C3484} "DisplayCplExt Class" - "ASUS" - C:\WINDOWS\system32\TPESetting.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{CAE3251E-9B15-4810-B268-852AD9792A59} "InCDShellExt Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDshx.dll
{B3D9AEDE-B2C3-406d-A254-6BE07767B08B} "InCDUdfPerm Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDUP.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - c:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\ZZZ\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.1.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"Hardcopy.LNK" - "sw4you, Siegfried Weckmann" - C:\Programme\Hardcopy\hardcopy.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"StartCCC" - ? - c:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe  (File found, but it contains no detailed information)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ABLKSR" - "ASYSTeK Computer INC." - C:\WINDOWS\ABLKSR\ABLKSR.exe
"ACMON" - "ATK" - "C:\Programme\ASUS\Splendid\ACMON.exe"
"ACU" - "Atheros Communications, Inc." - C:\Programme\Atheros\ACU.exe -nogui
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ASUS Camera ScreenSaver" - ? - C:\WINDOWS\ASScrProlog.exe  (File found, but it contains no detailed information)
"ASUS Screen Saver Protector" - ? - C:\WINDOWS\ASScrPro.exe
"ASUSTPE" - "ASUS" - C:\WINDOWS\system32\ASUSTPE.exe
"ATKHOTKEY" - "ATK0100" - "C:\Programme\ATK Hotkey\Hcontrol.exe"  (File is exclusively opened, access blocked)
"ATKMEDIA" - "ASUSTeK Computer INC." - C:\Programme\ASUS\ATK Media\DMEDIA.EXE
"ATKOSD2" - ? - "C:\Programme\ATKOSD2\ATKOSD2.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"LanguageShortcut" - ? - C:\Programme\ASUSTek\ASUSDVD\Language\Language.exe
"Power_Gear" - "ASUSTeK Computer Inc." - C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
"RemoteControl" - "Cyberlink Corp." - C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
"Wireless Console 2" - ? - "C:\Programme\Wireless Console 2\wcourier.exe"

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Atheros Wireless LAN" - ? - C:\WINDOWS\system32\athgina.dll  (File not found)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Atheros-Konfigurationsdienst" (ACS) - "Atheros" - C:\WINDOWS\system32\acs.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared Files\RichVideo.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"spmgr" (spmgr) - ? - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/PHP]

und Nr. 3

PHP-Code:

  MBRCheck, version 1.2.3

(c) 2010, AD

 
Command-line:            

Windows Version:        Windows XP Professional

Windows Information:        Service Pack 3 (build 2600)

Logical Drives Mask:        0x0000007c

 
Kernel Drivers (total 131):

  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

  0x806E6000 \WINDOWS\system32\hal.dll

  0xF799C000 \WINDOWS\system32\KDCOM.DLL

  0xF78AC000 \WINDOWS\system32\BOOTVID.dll

  0xF736C000 ACPI.sys

  0xF799E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

  0xF735B000 pci.sys

  0xF749C000 isapnp.sys

  0xF78B0000 compbatt.sys

  0xF78B4000 \WINDOWS\system32\DRIVERS\BATTC.SYS

  0xF7A64000 pciide.sys

  0xF771C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xF74AC000 MountMgr.sys

  0xF733C000 ftdisk.sys

  0xF79A0000 dmload.sys

  0xF7316000 dmio.sys

  0xF78B8000 ACPIEC.sys

  0xF7A65000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS

  0xF7724000 PartMgr.sys

  0xF74BC000 VolSnap.sys

  0xF72FE000 atapi.sys

  0xF74CC000 disk.sys

  0xF74DC000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xF72DE000 fltmgr.sys

  0xF72CC000 sr.sys

  0xF72B5000 KSecDD.sys

  0xF7228000 Ntfs.sys

  0xF71FB000 NDIS.sys

  0xF71E1000 Mup.sys

  0xF79B8000 \SystemRoot\system32\DRIVERS\ATKACPI.sys

  0xF766C000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xF4F85000 \SystemRoot\system32\DRIVERS\ati2mtag.sys

  0xF4F71000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xF4EEB000 \SystemRoot\system32\DRIVERS\ar5211.sys

  0xF767C000 \SystemRoot\system32\DRIVERS\l251x86.sys

  0xF781C000 \SystemRoot\system32\DRIVERS\usbohci.sys

  0xF4EC7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xF7824000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xF768C000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xF769C000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xF76AC000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xF4EA4000 \SystemRoot\system32\DRIVERS\ks.sys

  0xF782C000 \SystemRoot\system32\drivers\InCDPass.sys

  0xF76BC000 \SystemRoot\system32\drivers\InCDRm.sys

  0xF4E7C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0xF76CC000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0xF79BA000 \SystemRoot\system32\DRIVERS\kbfiltr.sys

  0xF7834000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xF4E4C000 \SystemRoot\system32\DRIVERS\SynTP.sys

  0xF79BC000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xF783C000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xF796C000 \SystemRoot\system32\DRIVERS\CmBatt.sys

  0xF7AE6000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xF76DC000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xF7970000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xF4E35000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xF76EC000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xF76FC000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xF7844000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xF4DFC000 \SystemRoot\system32\DRIVERS\psched.sys

  0xF770C000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xF784C000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xF7854000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xF4DCC000 \SystemRoot\system32\DRIVERS\rdpdr.sys

  0xF750C000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xF79BE000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xF4D6E000 \SystemRoot\system32\DRIVERS\update.sys

  0xF798C000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xF751C000 \SystemRoot\system32\DRIVERS\wsimd.sys

  0xF752C000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xF756C000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xEC7A5000 \SystemRoot\system32\drivers\RtkHDAud.sys

  0xEC781000 \SystemRoot\system32\drivers\portcls.sys

  0xF757C000 \SystemRoot\system32\drivers\drmk.sys

  0xEC691000 \SystemRoot\system32\DRIVERS\smserial.sys

  0xF7864000 \SystemRoot\System32\Drivers\Modem.SYS

  0xF794C000 \SystemRoot\system32\drivers\MODEMCSA.sys

  0xF79C2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xF7B88000 \SystemRoot\System32\Drivers\Null.SYS

  0xF79C4000 \SystemRoot\System32\Drivers\Beep.SYS

  0xF7884000 \SystemRoot\System32\drivers\vga.sys

  0xF79C6000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xF79C8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xF7960000 \SystemRoot\System32\Drivers\InCDrec.SYS

  0xEC62D000 \SystemRoot\system32\drivers\InCDFs.sys

  0xF788C000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xF7894000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xF4E31000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xEC5F2000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xEC599000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xEC571000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xEC54B000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xEC529000 \SystemRoot\System32\drivers\afd.sys

  0xF758C000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xF789C000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0xEC4FE000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xEC48E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xF759C000 \SystemRoot\System32\Drivers\Fips.SYS

  0xF4E11000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xF75AC000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0xF78A4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xF4E0D000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0xF75BC000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xEC3A0000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0xF79CE000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys

  0xF761C000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xEC388000 \SystemRoot\System32\Drivers\dump_atapi.sys

  0xF79F8000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xEC671000 \SystemRoot\System32\drivers\Dxapi.sys

  0xF77A4000 \SystemRoot\System32\watchdog.sys

  0xF77B4000 \SystemRoot\system32\drivers\RTSTOR.SYS

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xF7BBB000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF012000 \SystemRoot\System32\ati2dvag.dll

  0xBF056000 \SystemRoot\System32\ati2cqag.dll

  0xBF0AB000 \SystemRoot\System32\atikvmag.dll

  0xBF0F7000 \SystemRoot\System32\atiok3x2.dll

  0xBF107000 \SystemRoot\System32\ati3duag.dll

  0xBF3BA000 \SystemRoot\System32\ativvaxx.dll

  0xBF4F1000 \SystemRoot\System32\ATMFD.DLL

  0xB86D3000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0xB8700000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0xB8386000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0xB8231000 \SystemRoot\system32\drivers\wdmaud.sys

  0xB843B000 \SystemRoot\system32\drivers\sysaudio.sys

  0xB826A000 \??\C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys

  0xB7D04000 \SystemRoot\system32\DRIVERS\srv.sys

  0xB7509000 \SystemRoot\System32\Drivers\HTTP.sys

  0xF77CC000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

  0x7C910000 \WINDOWS\system32\ntdll.dll

 
Processes (total 56):

       0 System Idle Process

       4 System

     944 C:\WINDOWS\system32\smss.exe

    1032 csrss.exe

    1064 C:\WINDOWS\system32\winlogon.exe

    1108 C:\WINDOWS\system32\services.exe

    1120 C:\WINDOWS\system32\lsass.exe

    1304 C:\WINDOWS\system32\ati2evxx.exe

    1320 C:\WINDOWS\system32\svchost.exe

    1404 svchost.exe

    1444 C:\WINDOWS\system32\svchost.exe

    1584 svchost.exe

    1608 svchost.exe

    1676 C:\WINDOWS\system32\ati2evxx.exe

    1900 C:\WINDOWS\system32\spoolsv.exe

    1968 C:\WINDOWS\system32\acs.exe

    1988 C:\Programme\Avira\AntiVir Desktop\sched.exe

    2000 C:\Programme\Avira\AntiVir Desktop\avguard.exe

    2044 svchost.exe

     216 C:\Programme\Avira\AntiVir Desktop\avshadow.exe

     820 C:\WINDOWS\explorer.exe

     932 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe

     972 C:\Programme\Java\jre6\bin\jqs.exe

    1168 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

    1672 C:\Programme\CyberLink\Shared Files\RichVideo.exe

    1760 C:\Programme\ATKOSD2\ATKOSD2.exe

    1768 C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

    1800 wdfmgr.exe

     276 C:\Programme\ATK Hotkey\HControl.exe

     352 C:\WINDOWS\RTHDCPL.exe

     408 C:\Programme\ASUS\ATK Media\DMedia.exe

     436 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

     576 C:\Programme\ASUS\Splendid\ACMON.exe

     620 C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe

     672 C:\Programme\ASUS\Power4 Gear\BatteryLife.exe

     700 C:\Programme\Wireless Console 2\wcourier.exe

     720 C:\WINDOWS\system32\ASUSTPE.exe

     772 C:\Programme\ATK Hotkey\ATKOSD.exe

     636 C:\WINDOWS\ASScrPro.exe

    1832 C:\Programme\Atheros\ACU.exe

    1644 C:\WINDOWS\system32\ACEngSvr.exe

     968 C:\Programme\FreePDF_XP\fpassist.exe

    2136 C:\Programme\Java\jre6\bin\jusched.exe

    2192 C:\Programme\Avira\AntiVir Desktop\avgnt.exe

    2212 C:\Programme\ATK Hotkey\KBFiltr.exe

    2232 C:\Programme\ATK Hotkey\WDC.exe

    2256 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

    2296 C:\Programme\Hardcopy\hardcopy.exe

    2340 C:\Programme\OpenOffice.org 3\program\soffice.exe

    2364 C:\Programme\OpenOffice.org 3\program\soffice.bin

    2676 C:\WINDOWS\system32\wbem\wmiapsrv.exe

    2732 wmiprvse.exe

    2740 alg.exe

    2856 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

    3660 C:\WINDOWS\system32\wscntfy.exe

    1504 C:\Dokumente und Einstellungen\ZZZ\Desktop\MBRCheck.exe

 
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`fa08fc00  (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`fa1e6000  (NTFS)

 
PhysicalDrive0 Model Number: HitachiHTS542512K9SA00, Rev: BB2OC31P

 
      Size  Device Name          MBR Status

  --------------------------------------------

    111 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

 
 
Done!

cosinus · 24.06.2011, 08:52

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

cosinus · 24.06.2011, 15:19

Nur ein Überrest in der SWH.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner ansonsten wieder ok?

Flagelated · 24.06.2011, 15:26

Hi,

ja Rechner läuft wieder so wie vorher

WLAN hat auch wieder verbunden.

Wahnsinns akt, bis man das System wieder sauber hat.. Derweil setzt man die Kiste 3mal auf

Danke für deine Super Hilfe

cosinus · 24.06.2011, 15:35

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

TR Windows Recovery

Plagegeister aller Art und deren Bekämpfung: TR Windows Recovery