Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antispyware Soft Infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.06.2010, 01:02   #1
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hallo!

Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die Musik und jetzt stehe ich da:

Egal welche App ich starten will kommt:
"Application cannot be executed. The file xxxxx.xxx (applikationsfile) is infected. Do you want to activate your antivirus software now?"

Es kommt dann irgendwann ein Fenster mit
"Antispyware Soft
Innovative protection for your PC"

Das Sicherheitscenter von Windows wird geöffnet.

es kommen Meldungen, die sagen, dass 38 Malwareprogramme auf meinem Rechneer wären und ob ich diese beseitigen möchte.

Ausserdem werden automatisch Pornoseiten im Internetexplorer gestartet.

Ixh habe mit Malwarebytes, das zufällig auf dem Rechner installiert ist im protected mode einen Reinigungsversuch gemacht, der 18 infizierte Objekte fand und beseitigte, dann neu im protected mode gestartet, alles schien OK, eine Malware trace wurde noch aus der Registry entfernt. Nach Normalstart war das Problem aber wieder komplett da!

Hier der Malwarebytes Log, den ich glücklicherweise über einen Memorystick aus dem Rechner lotsen konnte...

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3900
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

04.06.2010 23:41:39
mbam-log-2010-06-04 (23-41-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 238290
Laufzeit: 16 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{836222e2-47cf-4fcb-bae1-b3679083edc1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uedijvrc.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\Temp\ersoacwxmn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\0.21977870949342415.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
         
Ich hoffe, dass ich in meiner Panik die Forumsregeln eingehalten habe und mir hier einmal mehr geholfen werden!

Danke!
Winfried

Alt 05.06.2010, 04:20   #2
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Also ich habe inzwischen (mehr per Zufall ) die allgemeine Entfernungsanleitung hier im Forum gefunden und ging also diese erstmal durch.

Nachdem ich aber schon mit Malwarebytes gearbeitet hatte, scheint Rkill im abgesicherten Windows Modus nichts zum Stoppen gefunden zu haben. Das finde ich etwas verdächtig... Allerdings hatte ich die nvapps.xml auf nvapps.xl1 und k77a8.dll auf k77a8.dl1umbenannt, vielleicht wurden sie darum nicht gefunden oder eliminiert...

In der Proxyeinstellung habe ich jetzt das Häkchen entfernt.

Malwarebytes lässt sich im abgesicherten Modus problemlos starten, findet auch nichts.

ASER: in Windows\System32\Drivers hat GMER die Datei kgzdy.sys gefunden, die irgendwie immer aktualisiert wird (sieht man am Datum) wenn man sie im Windows Explorer ansieht ...

Also es ist alles noch etwas sehr komisch...

Ich poste dann noch die Logs.

OTL

Code:
ATTFilter
OTL logfile created on: 05.06.2010 02:17:18 - Run 1
OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS
Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT
Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)
SRV - [2006.06.18 14:56:10 | 000,712,704 | ---- | M] (UltraVNC) [Auto | Stopped] -- C:\Programme\UltraVNC\WinVNC.exe -- (winvnc)
SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Stopped] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)
SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent)
DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)
DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)
DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)
DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)
DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)
DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)
DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)
DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST)
DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa)
DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)
DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)
DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)
DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
 
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - HKLM..\Run: [skb]  File not found
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC)
O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()
O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk = U:\FOSERVER.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk = X:\IFCSTART.BAT File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 45681376
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation)
O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\AutoRun\command - "" = E:\ -- File not found
O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\open\Command - "" = WScript.exe .\autorun.vbs
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.05.17 15:32:00 | 000,000,000 | ---D | M]
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: SSHNAS -  File not found
Unable to start service SrService!
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 01:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\k77a8.dll
[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml
[2010.06.04 23:45:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent
[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.06.04 22:31:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf
[2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2010.06.04 22:30:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp
[2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput
[2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll
[2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz
[2010.04.05 01:56:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Musikdownload
[2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR
[2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager
[2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC
[2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy
 
========== Files - Modified Within 90 Days ==========
 
[2010.06.05 02:19:22 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
[2010.06.05 02:15:35 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT
[2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 01:24:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.05 01:23:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.05 01:22:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.05 01:22:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini
[2010.06.05 01:22:19 | 003,250,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.06.05 01:18:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.06.05 00:19:01 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini
[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1
[2010.06.05 00:17:54 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini
[2010.06.05 00:17:51 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp
[2010.06.05 00:17:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe
[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls
[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF
[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f   Micros-Fidelio -  FO Server.lnk
[2010.04.06 23:14:45 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp
[2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.03.22 19:28:12 | 000,000,612 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
 
========== Files Created - No Company Name ==========
 
[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
[2010.06.04 22:30:50 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:22 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedya.exe
[2010.06.04 22:15:20 | 000,000,250 | -H-- | C] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.06 23:14:45 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp
[2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini
[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
 
========== LOP Check ==========
 
[2010.06.04 22:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
[2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics
[2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid
[2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF
[2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2007.05.22 14:42:47 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.09.18 12:42:18 | 000,000,572 | ---- | M] () -- C:\CibRegSvr.log
[2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2007.05.24 11:21:27 | 000,001,710 | ---- | M] () -- C:\DEBUG.LOG
[2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2007.05.21 15:31:30 | 000,000,452 | ---- | M] () -- C:\mfInst.log
[2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2009.03.28 01:35:57 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.06.05 01:23:45 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys
[2007.05.17 15:57:58 | 000,000,440 | ---- | M] () -- C:\RHDSetup.log
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007.05.17 17:24:05 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2007.05.17 17:24:05 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2007.05.17 17:24:05 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\drivers\*.sys /90 >
[2010.06.05 02:20:20 | 000,823,808 | ---- | M] () -- C:\WINDOWS\system32\drivers\kgzdy.sys
< End of report >
         
EXTRA

Code:
ATTFilter
OTL Extras logfile created on: 05.06.2010 02:17:18 - Run 1
OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS
Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT
Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293
"1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521
"443:TCP" = 443:TCP:*:Enabled:IP PORT 443
"80:TCP" = 80:TCP:*:Enabled:IP PORT 80
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621
"5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900
"4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400
"2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC)
"C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC)
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE" = C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE" = C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation)
"D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.)
"C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH)
"C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH)
 
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 01.04.2010 14:33:09 | Computer Name = MFSRV01 | Source = G4Cti | ID = 5
Description = OSI_Hipath3000: Nicht verbunden!     Windows-Socket-Fehler: Ein Verbindungsversuch
 ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht ordnungsgemäß
 reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene
 Host nicht reagiert hat (10060), auf API 'connect'     Thread: HospiX Entry - PBX Interface
 TThreadCtiSteuerung
 
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 04.06.2010 18:22:33 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 04.06.2010 18:22:34 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
[ System Events ]
Error - 04.06.2010 19:53:50 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 19:55:37 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:11:13 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:12:01 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:12:43 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:12:55 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:15:14 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:15:32 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:   %%2
 
 
< End of report >
         

GMER:

GMER Logfile:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-05 02:49:39
Windows 5.1.2600 Service Pack 3
Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys


---- Kernel code sections - GMER 1.0.15 ----

.pak2    C:\WINDOWS\system32\drivers\kgzdy.sys                                     entry point in ".pak2" section [0xF73B74E0]
?        C:\WINDOWS\system32\drivers\kgzdy.sys                                     Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE     Ntfs.sys                                                                  F7193E55 4 Bytes  CALL 865D4159 

---- User code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtProtectVirtualMemory     7C91D6EE 5 Bytes  JMP 006E000A 
.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtWriteVirtualMemory       7C91DFAE 5 Bytes  JMP 006F000A 
.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!KiUserExceptionDispatcher  7C91E47C 5 Bytes  JMP 006D000C 
.text    C:\WINDOWS\system32\svchost.exe[612] USER32.dll!GetCursorPos              7E37974E 5 Bytes  JMP 0068000A 
.text    C:\WINDOWS\system32\svchost.exe[612] ole32.dll!CoCreateInstance           774D057E 5 Bytes  JMP 0132000A 
.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtProtectVirtualMemory            7C91D6EE 5 Bytes  JMP 00B8000A 
.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtWriteVirtualMemory              7C91DFAE 5 Bytes  JMP 00BE000A 
.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!KiUserExceptionDispatcher         7C91E47C 5 Bytes  JMP 00B7000C 

---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Ntfs \Ntfs                                                    86506EC8
Device   \Driver\aksusb \Device\00000058                                           AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)

---- Services - GMER 1.0.15 ----

Service   (*** hidden *** )                                                        [BOOT] kgzdy                                                         <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Type                         1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Start                        0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@ErrorControl                 0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Group                        Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Type                             1
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Start                            0
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@ErrorControl                     0
Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Group                            Boot Bus Extender

---- EOF - GMER 1.0.15 ----]
         
--- --- ---


Gruss,
Winfried
__________________


Geändert von wgh52 (05.06.2010 um 04:34 Uhr)

Alt 05.06.2010, 04:44   #3
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hier noch die RSIT Logs

RSIT Logfile:
RSIT Logfile:
Code:
ATTFilter
Logfile of random's system information tool 1.07 (written by random/random)
Run by Administrator at 2010-06-05 04:36:44
Microsoft Windows XP Professional Service Pack 3
System drive C: has 23 GB (76%) free of 30 GB
Total RAM: 1022 MB (74% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}]
C:\WINDOWS\system32\k77a8.dll - C:\WINDOWS\system32\k77a8.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-05-28 278128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"skb"=rundll32 uedijvrc.dll,,Run []
"xaknoleo"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Octoshape Streaming Services"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe [2008-05-22 156944]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-12-18 40368]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
C:\cleansweep.exe\cleansweep.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu]
C:\Temp\fn4yj.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
C:\Temp\debug.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
c:\Temp\Pql.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
c:\Temp\lxqg3foj.dll, RestoreWindows []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
f   Micros-Fidelio -  FO Server.lnk - U:\FOSERVER.exe
i    Micros-Fidelio -  Interface.lnk - X:\IFCSTART.BAT
NDAS Device Management.lnk - C:\Programme\NDAS\System\ndasmgmt.exe

C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
C:\WINDOWS\system32\PCANotify.dll [2002-02-15 24638]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
har98fefiesjfs93s8i9sejsdf - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=45681376
"NoFolderOptions"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\UltraVNC\vncviewer.exe"="C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe"
"C:\Programme\UltraVNC\winvnc.exe"="C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe"
"C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"="C:\WINDOWS\SYSTEM32\WUAUCLT.EXE:*:Enabled:C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE"="C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program"
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE"="C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service"
"C:\Programme\Symantec\pcAnywhere\awrem32.exe"="C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service"
"D:\fidelio\program\Ifc7.exe"="D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd."
"C:\programme\HospiX Entry\g4.exe"="C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry"
"C:\programme\hospix entry\g4servicectrl.exe"="C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d891d302-d557-11de-a98e-0019990564f0}]
shell\AutoRun\command - E:\
shell\open\command - WScript.exe .\autorun.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}]
shell\AutoRun\command - lgrncie.bat
shell\explore\command - lgrncie.bat
shell\open\command - lgrncie.bat


======List of files/folders created in the last 1 months======

2010-06-05 04:36:51 ----D---- C:\Programme\trend micro
2010-06-05 04:36:44 ----D---- C:\rsit
2010-06-05 01:34:17 ----D---- C:\WINDOWS\system32\k77a8.dll
2010-06-05 01:29:31 ----D---- C:\WINDOWS\system32\nvapps.xml
2010-06-05 00:17:34 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-06-04 23:54:52 ----A---- C:\WINDOWS\ntbtlog.txt
2010-06-04 22:31:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-06-04 22:30:50 ----A---- C:\WINDOWS\Pjedyb.exe
2010-06-04 22:30:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
2010-06-04 22:15:22 ----A---- C:\WINDOWS\Pjedya.exe
2010-05-26 23:44:53 ----HDC---- C:\WINDOWS\$NtUninstallKB981793$
2010-05-22 22:24:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 22:22:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 22:22:49 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe
2010-05-22 22:22:47 ----D---- C:\Programme\dBpoweramp
2010-05-15 11:54:26 ----A---- C:\WINDOWS\system32\pncrt.dll
2010-05-15 11:54:02 ----D---- C:\Programme\FormatFactory
2010-05-13 03:00:23 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$
2010-05-11 10:43:44 ----D---- C:\Programme\Downloader Qobuz
2010-05-11 10:43:44 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

======List of files/folders modified in the last 1 months======

2010-06-05 04:36:51 ----RD---- C:\Programme
2010-06-05 04:34:03 ----D---- C:\Temp
2010-06-05 02:13:53 ----D---- C:\WINDOWS\system32
2010-06-05 02:13:53 ----D---- C:\WINDOWS
2010-06-05 01:53:36 ----HD---- C:\WINDOWS\inf
2010-06-05 01:53:35 ----D---- C:\WINDOWS\system32\CatRoot2
2010-06-05 00:19:01 ----A---- C:\WINDOWS\ais.ini
2010-06-05 00:18:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-06-05 00:17:54 ----A---- C:\WINDOWS\BrmfBidi.ini
2010-06-04 23:43:57 ----HDC---- C:\WINDOWS\$NtUninstallKB920213$
2010-06-04 23:43:57 ----D---- C:\WINDOWS\system32\drivers
2010-06-04 23:05:51 ----SD---- C:\WINDOWS\Tasks
2010-06-04 22:31:06 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-06-03 01:04:30 ----D---- C:\WINDOWS\Prefetch
2010-05-28 09:37:18 ----SHD---- C:\WINDOWS\Installer
2010-05-13 21:59:04 ----D---- C:\WINDOWS\Debug
2010-05-13 03:00:25 ----D---- C:\Programme\Outlook Express
2010-05-12 09:08:46 ----HD---- C:\WINDOWS\$hf_mig$
2010-05-09 00:35:41 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AW_HOST;AW_HOST; C:\WINDOWS\system32\drivers\aw_host5.sys [2002-02-11 33496]
R3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys [2006-11-22 327168]
R3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys [2006-11-22 100096]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 ndasbus;NDAS Bus Driver; C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2005-03-31 39168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 awlegacy;awlegacy; C:\WINDOWS\System32\Drivers\awlegacy.sys [2000-09-11 10816]
S1 lfsfilt;Lean File Sharing; \??\C:\WINDOWS\system32\DRIVERS\lfsfilt.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
S2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-10 156160]
S3 brfilt;Brother MFC-Filtertreiber; C:\WINDOWS\System32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber; C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 3168]
S3 BrParWdm;Brother WDM-Treiber (parallel); C:\WINDOWS\System32\Drivers\BrParwdm.sys [2001-08-18 39808]
S3 BrSerWDM;Brother WDM-Treiber (seriell); C:\WINDOWS\System32\Drivers\BrSerWdm.sys [2001-08-17 60416]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
S3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744]
S3 ndasscsi;NDAS SCSI Miniport Driver; C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2005-03-31 91392]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
S3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS []
S3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]
S4 ACPI;ACPI; C:\WINDOWS\system32\drivers\ACPI.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 awhost32;pcAnywhere Host Service; C:\Programme\Symantec\pcAnywhere\awhost32.exe [2002-02-15 114749]
S2 G4AAA;HospiX Entry - AAA Service; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4Cti;HospiX Entry - PBX Interface; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4DataImport;HospiX Entry - Call data import; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4FOC;HospiX Entry - PMS Connector; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4ServiceControl;HospiX Entry - Service Controller; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-05 135664]
S2 ndassvc;NDAS Service; C:\Programme\NDAS\System\ndassvc.exe [2005-03-31 377856]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
S2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]

-----------------EOF-----------------
         
--- --- ---

--- --- ---



Info.txt
[code]info.txtRSIT Logfile:RSIT Logfile:
Code:
ATTFilter
logfile of random's system information tool 1.06 2010-06-05 04:36:55

======Uninstall list======


======System event log======

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7374
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7373
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7372
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 7371
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User: 

Computer Name: MFSRV01
Event Code: 26
Message: Anwendungspopup: Windows - Datenverlust beim Schreiben: Es konnten nicht alle Daten für die Datei P:\ gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Dateien woanders zu speichern. 

Record Number: 7370
Source Name: Application Popup
Time Written: 20100505113504.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: MFSRV01
Event Code: 4
Message: Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/02FAF3E291435468607857694DF5E45B68851868.crt>.

Record Number: 2647
Source Name: crypt32
Time Written: 20091006114356.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 2
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.

Record Number: 2646
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 7
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.

Record Number: 2645
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 0
Message: 
Record Number: 2644
Source Name: gusvc
Time Written: 20091006110834.000000+120
Event Type: Informationen
User: 

Computer Name: MFSRV01
Event Code: 0
Message: 
Record Number: 2643
Source Name: gusvc
Time Written: 20091006110734.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Symantec\pcAnywhere\;C:\Programme\CIB pdf brewer
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0f02
"TEMP"=c:\Temp
"TMP"=c:\Temp
"windir"=%SystemRoot%
"SAFEBOOT_OPTION"=MINIMAL

-----------------EOF-----------------
         
--- --- ---

--- --- ---


Ich hoffe Ihr könnt mir helfen. Ich probiere jetzt nochmal ein normalen Boot.

Au Mann!

Winfried
__________________

Alt 05.06.2010, 05:19   #4
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Also ich verzweifle gerade, die ganze stundenlange Aktion hat nichts gebracht...

Nach Neustart alles wieder beim alten: ich kann kein Programm starten, immer die bekannte Meldung.

Also wieder abgesicherter Modus und nochmal Rkill.com gestartet, das findet aber keine zu stoppenden Prozesse ausser sich selbst...

Dann nochmal Malwarebytes (nach update mit neuesten Daten) gestartet, findet jetzt was, läuft aber noch eine Weile. Was für eine schlaflose Nacht wegen diesem Mist (ja, habe ich mir ja selbst zuzuschreiben, weiss schon )

Bis später, ich poste dann noch den Malwarebytes Scan.
Gruss,
Winfried

Alt 05.06.2010, 05:44   #5
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion





Es ist mitten in der Nacht, also etwas geduld

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
O4 - HKLM..\Run: [skb]  File not found
O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()
O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe
[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
:services
:files
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf
C:\cleansweep.exe
C:\Temp\fn4yj.exe
C:\Temp\debug.exe 
c:\Temp\Pql.exe
c:\Temp\lxqg3foj.dll

:reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]


:Commands
[purity]
[emptytemp]
[reboot]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 2

Berichte ob Du wieder in den Normalen Modus starten kannst.

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.06.2010, 06:15   #6
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hallo Daniel,

ungeduld Euch Helfern gegenüber wäre ja ganz unangebracht! Vielen Dank, dass Du zu dieser Zeit schon nach uns unglücklichen schaust!

Also ich habe Malwarebytes zuende laufen lasen, hier ist der Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

05.06.2010 06:06:28
mbam-log-2010-06-05 (06-06-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 244914
Laufzeit: 55 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Also, ich gehe dann Deinem Rat folgend mit OTL.exe und Deinem Code weiter, ohne Malwarebytes "reinigen" zu lassen. Hoffentlich ist das OK...

Gruss, bis bald,
Winfried

Alt 05.06.2010, 07:03   #7
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hallo Daniel,

es scheint geschafft!

Der PC wurde nach OTL ganz normal gebootet, alle Software geht wieder, keine Fehlermeldungen mehr, das Icon in der Taskleiste ist auch weg.

Hier das OTL Log:

Code:
ATTFilter
All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\skb deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\xaknoleo deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ deleted successfully.
C:\WINDOWS\system32\k77a8.dll folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{C7BA40A1-74F2-52BD-F411-04B15A2C8953} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ not found.
File C:\WINDOWS\system32\k77a8.dll not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
File lgrncie.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
File lgrncie.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
File lgrncie.bat not found.
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job moved successfully.
C:\WINDOWS\Pjedyb.exe moved successfully.
C:\WINDOWS\system32\k77a8.dl1 moved successfully.
C:\WINDOWS\Pjedya.exe moved successfully.
File move failed. C:\WINDOWS\system32\drivers\kgzdy.sys scheduled to be moved on reboot.
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf folder moved successfully.
File\Folder C:\cleansweep.exe not found.
File\Folder C:\Temp\fn4yj.exe not found.
File\Folder C:\Temp\debug.exe not found.
File\Folder c:\Temp\Pql.exe not found.
File\Folder c:\Temp\lxqg3foj.dll not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3\ not found.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
 
User: Administrator.MFSRV01
->Temp folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
 
User: mfsys
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
 
User: Reception
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 8395431 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 8,00 mb
 
 
OTL by OldTimer - Version 3.2.5.3 log created on 06052010_062014

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\kgzdy.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         
"kgzdy.sys" ist nach Reboot nicht verschoben worden!!!! Es steht noch in den Drivers und scheint aber bisher nicht zu stören. Was machen wir da? Falls noch etwas zu tun ist, mache ich das natürlich wenn ich wieder "da" bin.

Ich nehme jetzt trotzdem mal 'ne Mütze voll Schlaf. Viiiieeelen herzlichen Dank bis hierher!

Und die benutzten Softwares brauche ich später nur vom Desktop löschen, richtig?

Danke und Gruss,
Winfried

Geändert von wgh52 (05.06.2010 um 07:10 Uhr)

Alt 05.06.2010, 14:26   #8
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:[indent]Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.06.2010, 16:26   #9
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hallo!

also Combofix.exe ist gelaufen, hatte Rootkit activity festgestellt, dann nach zweimaligem Boot läuft alles scheinbar normal.

Hier ist der Log:

Code:
ATTFilter
ComboFix 10-06-03.01 - Administrator 05.06.2010  16:05:24.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.749 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56\enemies-names.txt
c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56\local.ini
c:\windows\command
c:\windows\command\EXTRACT.PIF
c:\windows\system32\driVERs\kgzdy.sys
U:\LOG.EXE

Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Legacy_kgzdy
-------\Service_kgzdy


(((((((((((((((((((((((   Dateien erstellt von 2010-05-05 bis 2010-06-05  ))))))))))))))))))))))))))))))
.

2010-06-05 13:51 . 2010-06-05 14:09	--------	d-----w-	c:\temp\Google Toolbar
2010-06-05 04:20 . 2010-06-05 04:20	--------	d-----w-	C:\_OTL
2010-06-05 03:06 . 2010-06-05 03:06	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-06-05 02:36 . 2010-06-05 02:36	--------	d-----w-	c:\programme\trend micro
2010-06-05 02:36 . 2010-06-05 02:36	--------	d-----w-	C:\rsit
2010-06-04 23:29 . 2010-06-04 23:29	--------	d-----w-	c:\windows\system32\nvapps.xml
2010-06-04 20:43 . 2010-06-04 20:43	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-04 20:31 . 2010-06-04 21:27	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-05-22 20:24 . 2010-05-22 20:26	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 20:22 . 2010-05-22 20:33	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 20:22 . 2010-05-22 20:22	15326	----a-w-	c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2010-05-22 20:22 . 2010-05-21 08:49	5652144	----a-w-	c:\windows\system32\SpoonUninstall.exe
2010-05-22 20:22 . 2010-05-22 20:22	--------	d-----w-	c:\programme\dBpoweramp
2010-05-15 09:54 . 2010-05-15 10:08	--------	d-----w-	c:\programme\FormatFactory
2010-05-11 08:43 . 2010-05-11 09:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
2010-05-11 08:43 . 2010-05-11 08:43	--------	d-----w-	c:\programme\Downloader Qobuz

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-05 14:13 . 2007-06-08 13:20	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-05-08 22:35 . 2009-04-07 20:27	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
2010-04-29 13:39 . 2010-02-21 21:03	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-02-21 21:03	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-01 06:15 . 2004-08-04 12:00	63580	----a-w-	c:\windows\system32\perfc007.dat
2010-04-01 06:15 . 2004-08-04 12:00	391000	----a-w-	c:\windows\system32\perfh007.dat
2010-03-10 06:15 . 2004-08-04 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Octoshape Streaming Services"="c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\programme\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
f   Micros-Fidelio -  FO Server.lnk - U:\FOSERVER.exe [2007-5-22 14167552]
i    Micros-Fidelio -  Interface.lnk - X:\IFCSTART.BAT [2007-5-21 10929]
NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2002-02-15 08:51	24638	----a-w-	c:\windows\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-18 07:58	40368	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-08-11 18:43	1519616	----a-w-	c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04	2879488	----a-w-	c:\windows\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=
"d:\\fidelio\\program\\Ifc7.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"38293:TCP"= 38293:TCP:IP PORT 38293
"1521:TCP"= 1521:TCP:IP PORT 1521
"443:TCP"= 443:TCP:IP PORT 443
"1621:TCP"= 1621:TCP:IP PORT 1621
"5900:TCP"= 5900:TCP:IP PORT 5900
"4400:TCP"= 4400:TCP:IP PORT 4400
"2967:TCP"= 2967:TCP:IP PORT 2967

R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]
R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]
R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]
R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]
R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe ARM - c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
MSConfigStartUp-hsfe8owijfisjhgs7ye39gjsoighsd7y3eu - c:\temp\fn4yj.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-05 16:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D0278A]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7632f28
\Driver\atapi -> atapi.sys @ 0xf732e852
\Driver\iaStor -> iaStor.sys @ 0xf7279184
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d68ad0
 PacketIndicateHandler -> NDIS.sys @ 0xf71a1a21
 SendHandler -> NDIS.sys @ 0xf717f87b
user & kernel MBR OK 
copy of MBR has been found in sector 0x01D1BC7FF 
malicious code @ sector 0x01D1BC802 !
PE file found in sector at 0x01D1BC818 !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2624)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Symantec\pcAnywhere\awhost32.exe
c:\programme\NDAS\System\ndassvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\BRMFRSMG.EXE
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\OpenOffice.org 2.2\program\soffice.exe
c:\programme\OpenOffice.org 2.2\program\soffice.BIN
j:\fidelio\program\Ifc7.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-05  16:16:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-05 14:16

Vor Suchlauf: 9 Verzeichnis(se), 23.867.580.416 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 23.794.266.112 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - A354CE7D4C4F23CA8D6DA004B2E31CA4
         
So, ob das jetzt alles soweit OK ist weis ich nicht wirklich, aber der PC läuft.

Danke vielmals!
Gruss,
Winfried

Alt 05.06.2010, 17:04   #10
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Zitat:
Zitat von Larusso
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

* Bitte arbeite alle Schritte der Reihe nach ab.
* Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
* Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
* Bitte kein Crossposting ( posten in mehreren Foren).
* Bitte keine Code Tags.
Okay gehen wir auf Nummer sicher.

Starte den Rechner neu auf. Du wirst nun einen neuen Eintrag im Bootmenü sehen. Wiederherstellungskonsole
Diese bitte auswählen.
Nun solltest Du ein schwarzes Fenster vor Dir haben wo
C:\windows:>
zu sehen ist.

Hier gib bitte fixmbr ein und drücke enter. Folge gegebenfalls den Anweisungen.

Mit exit wird die Wiederherstellungskonsole verlassen und der Rechner startet neu.


Schritt 2
  • Downloade die MBR.exe[/B] und
  • speichere das Programm auf Deinem Desktop.
  • Mache einen Doppelklick auf das Programm, um es zu starten.
  • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
  • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
  • Poste mir den Inhalt dieser Logdatei hier in den Thread.


Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.


Schritt 4

Starte bitte GMER erneut und poste mir die Logfile.


Bitte poste in Deiner nächsten Antwort
mbr.log
OTL.txt
Gmer.txt
Berichte wie der Rechner läuft.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 06.06.2010, 23:15   #11
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Beim Starten der Wiederherstellungskonsole bekomme ich ein Bluscreen mit der Meldung dass Windows heruntergefahren wurde um den PC nicht zu beschädigen und der Aufforderung CHKDSK laufen zu lassen.

Ich habe also MBR nicht laufen lassen können und darum die weiteren Scans auch nicht laufen lassen...

Vorher hatte ich folgende Ergebnisse mit Malwarebytes, es scheint übrigens noch ein Browserhijack auf dem System zu sein und Rootkitactivity scheint auch da zu sein...:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4173

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.06.2010 22:27:36
mbam-log-2010-06-06 (22-27-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 252386
Laufzeit: 20 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\kgzdy.sys.vir (Rootkit.Agent) -> No action taken.
C:\_OTL\MovedFiles\06052010_062014\C_Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe (Trojan.Agent.Gen) -> No action taken.
C:\_OTL\MovedFiles\06052010_062014\C_WINDOWS\system32\k77a8.dl1 (Trojan.Ertfor) -> No action taken.
         
und Cofi

Code:
ATTFilter
ComboFix 10-06-06.01 - Administrator 06.06.2010  22:40:05.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.748 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\sbVWO408.exe
c:\programme\Malwarebytes' Anti-Malware\mbam.exe
c:\programme\UltraVNC\WinVNC.exe

Code:
ATTFilter
 <pre>
c:\programme\Malwarebytes' Anti-Malware\mbam .exe ---^> c:\programme\Malwarebytes' Anti-Malware\mbam.exe
c:\programme\UltraVNC\WinVNC .exe ---^> c:\programme\UltraVNC\WinVNC.exe
</pre>
         
. Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_winvnc -------\Service_winvnc ((((((((((((((((((((((( Dateien erstellt von 2010-05-06 bis 2010-06-06 )))))))))))))))))))))))))))))) . 2010-06-06 20:33 . 2010-06-06 20:33 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes 2010-06-06 16:26 . 2010-06-06 20:44 -------- d-----w- c:\temp\cdvg.tmp 2010-06-05 13:58 . 2010-06-05 14:17 -------- d-----w- C:\CoFi 2010-06-05 13:51 . 2010-06-06 20:44 -------- d-----w- c:\temp\Google Toolbar 2010-06-05 04:20 . 2010-06-05 04:20 -------- d-----w- C:\_OTL 2010-06-05 03:06 . 2010-06-06 20:54 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-06-05 02:36 . 2010-06-05 02:36 -------- d-----w- c:\programme\trend micro 2010-06-05 02:36 . 2010-06-05 02:36 -------- d-----w- C:\rsit 2010-06-04 23:29 . 2010-06-04 23:29 -------- d-----w- c:\windows\system32\nvapps.xml 2010-06-04 20:43 . 2010-06-04 20:43 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2010-06-04 20:31 . 2010-06-04 21:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads 2010-05-22 20:24 . 2010-05-22 20:26 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp 2010-05-22 20:22 . 2010-05-22 20:33 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip 2010-05-22 20:22 . 2010-05-22 20:22 15326 ----a-w- c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat 2010-05-22 20:22 . 2010-05-21 08:49 5652144 ----a-w- c:\windows\system32\SpoonUninstall.exe 2010-05-22 20:22 . 2010-05-22 20:22 -------- d-----w- c:\programme\dBpoweramp 2010-05-15 09:54 . 2010-05-15 10:08 -------- d-----w- c:\programme\FormatFactory 2010-05-11 08:43 . 2010-05-11 09:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz 2010-05-11 08:43 . 2010-05-11 08:43 -------- d-----w- c:\programme\Downloader Qobuz . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-06 20:54 . 2007-05-21 13:36 -------- d-----w- c:\programme\UltraVNC 2010-06-06 20:54 . 2007-06-08 13:20 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2 2010-06-06 18:36 . 2010-06-06 16:29 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat 2010-06-06 16:27 . 2005-01-07 15:07 38916 ----a-w- c:\windows\system32\HDAShCut.exe 2010-05-08 22:35 . 2009-04-07 20:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss 2010-04-29 13:39 . 2010-02-21 21:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 13:39 . 2010-02-21 21:03 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-01 06:15 . 2004-08-04 12:00 63580 ----a-w- c:\windows\system32\perfc007.dat 2010-04-01 06:15 . 2004-08-04 12:00 391000 ----a-w- c:\windows\system32\perfh007.dat 2010-03-10 06:15 . 2004-08-04 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll .
Code:
ATTFilter
<pre>
c:\programme\UltraVNC\WinVNC .exe
c:\windows\system32\HDAShCut .exe
</pre>
         
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Octoshape Streaming Services"="c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2010-06-06 38920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinVNC"="c:\programme\UltraVNC\WinVNC.exe" [2010-06-06 38920] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2010-06-06 38916] "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848] "REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\ OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ f Micros-Fidelio - FO Server.lnk - U:\FOSERVER.exe [2007-5-22 14167552] i Micros-Fidelio - Interface.lnk - X:\IFCSTART.BAT [2007-5-21 10929] NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] 2002-02-15 08:51 24638 ----a-w- c:\windows\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-12-18 07:58 40368 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] 2006-08-11 18:43 1519616 ----a-w- c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] 2006-05-16 16:04 2879488 ----a-w- c:\windows\SkyTel.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\UltraVNC\\vncviewer.exe"= "c:\\Programme\\UltraVNC\\winvnc.exe"= "c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"= "c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"= "c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"= "c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"= "d:\\fidelio\\program\\Ifc7.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "38293:TCP"= 38293:TCP:IP PORT 38293 "1521:TCP"= 1521:TCP:IP PORT 1521 "443:TCP"= 443:TCP:IP PORT 443 "1621:TCP"= 1621:TCP:IP PORT 1621 "5900:TCP"= 5900:TCP:IP PORT 5900 "4400:TCP"= 4400:TCP:IP PORT 4400 "2967:TCP"= 2967:TCP:IP PORT 2967 R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160] R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160] R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160] R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160] R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160] R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568] R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944] R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168] R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808] R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416] R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664] . Inhalt des "geplante Tasks" Ordners 2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34] 2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyServer = http=127.0.0.1:5555 uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-06-06 22:54 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D2778A]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7632f28 \Driver\atapi -> atapi.sys @ 0xf7465852 \Driver\iaStor -> iaStor.sys @ 0xf73b0184 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76 NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d8dad0 PacketIndicateHandler -> NDIS.sys @ 0xf72c6a21 SendHandler -> NDIS.sys @ 0xf72a487b user & kernel MBR OK copy of MBR has been found in sector 0x01D1BC7FF malicious code @ sector 0x01D1BC802 ! PE file found in sector at 0x01D1BC818 ! ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (Administrator) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\ "6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,a8,21,0b,c6,97,4a,4a,84,b2,14,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(1664) c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Symantec\pcAnywhere\awhost32.exe c:\programme\NDAS\System\ndassvc.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\BRMFRSMG.EXE c:\windows\system32\wscntfy.exe c:\windows\RTHDCPL.EXE c:\windows\system32\RUNDLL32.EXE c:\programme\OpenOffice.org 2.2\program\soffice.exe c:\programme\OpenOffice.org 2.2\program\soffice.BIN j:\fidelio\program\Ifc7.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-06-06 22:58:47 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-06-06 20:58 ComboFix2.txt 2010-06-05 14:16 Vor Suchlauf: 10 Verzeichnis(se), 23.816.163.328 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 23.805.665.280 Bytes frei - - End Of File - - D4025B5E712369E0F9CB8EE44117C727
Beim Normalstart von Windows funktioniert alles, bis auf diese komische Meldung:



Was soll ich machen??


Gruss,
Winfried

Geändert von wgh52 (06.06.2010 um 23:32 Uhr)

Alt 07.06.2010, 12:35   #12
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Ich habe wegen des Browser Hijacks den ich sehe, ESET NOD32 installiert, lasse es gerade laufen und es hat

W32/Mebroot.mbr

gefunden, kann das aber nicht beseitigen. Hier scheint hier noch ein dickes Problem zu sein....

Malwarebytes hatte das nicht angezeigt, auch das Browserhijack wird nicht (mehr) angezeigt, ich kriege aber öfters unerwünschte redirects!

Ich hoffe Ihr könnt mir weiterhelfen!

Danke vielmals,
Gruss,
Winfried

Alt 07.06.2010, 15:34   #13
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Wer hat was von COmbofix gesagt ?
Ich wars nicht

Die Funde von Malwarebytes sind in QuarantäneOrdnern der Tools.

Zitat:
Zitat von Larusso
# Bitte arbeite alle Schritte der Reihe nach ab.
# Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
# Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.

Ist dir diese Software bekannt bzw bewusst Installiert?
UltraVNC

Hast Du eine Festplattenverschlüsselung oder einen DELL PC ?
Was spricht gegen ein neu aufsetzen ?

Ist der Rechner in gewerblicher Nutzung ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 07.06.2010, 18:16   #14
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



Hallo Daniel,

UltraVNC ist ein Programm, das für Remote Services eines Softwarelieferanten installiert wurde. Aber auf der Meldung stand doch WinVNC...

Neuaufsetzen möchte ich nur im äussersten Notfall, das wäre eine grosse Sache.

Der PC ist ein Celsius von Fujitsu-Siemens, Festplattenverschlüsselung habe ich nicht, aber eine Festplattenspiegelung.

Cofi habe ich wegen des Posts 05.06.2010 14:26 nochmals laufen lassen; ich hoffe kein zu schwerwiegender Fehler...

Ja, teilweise ist der PC in gewerblicher Nutzung.

Gruss,
Winfried

Alt 07.06.2010, 18:48   #15
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion



CF hat dir diese Datei gelöscht
c:\programme\UltraVNC\WinVNC.exe

Darum die Frage und wahrscheinlich darum die Fehlermeldung.

Ganz ehrlich, bei ner MBR infection würde ich bei teilweiser gewerblicher Nutzung nicht lange spielen und formatieren.

Und die Infection scheint nicht gerade sparsam zu sein, Malware nachzuladen.
Helfen darf ich Dir weiterhin, aber ein Formatieren würde ich Dir ans Herz legen.


Für den Fall dass Du doch bereinigen willst, sichere zu allererst alle wichtigen Daten.
Keine ausführbaren Dateien mitsichern !!!

  • Downloade die MBR.exe und
  • speichere das Programm auf Deinem Desktop.
  • Mache einen Doppelklick auf das Programm, um es zu starten.
  • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
  • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
  • Poste mir den Inhalt dieser Logdatei hier in den Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Antispyware Soft Infektion
adware.ezlife, anti-malware, antimalware, antispyware, antivirus, application cannot be executed., automatisch, cleansweep.exe, dateien, downloader, explorer, hijack.folderoptions, infektion, malwarebytes, malwarebytes' anti-malware, microsoft, problem, rechner, rogue.antimalwaredoctor, software, sshnas21.dll, starten, system, system32, temp, trojan.agent, trojan.downloader, trojan.dropper, winlogon.exe, zufällig



Ähnliche Themen: Antispyware Soft Infektion


  1. Antispyware Soft Virus
    Log-Analyse und Auswertung - 15.06.2010 (59)
  2. Antispyware Soft - Trojaner und Probleme mit dem IE
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (17)
  3. Antispyware soft erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2010 (14)
  4. Problem mit Antispyware Soft
    Log-Analyse und Auswertung - 01.06.2010 (7)
  5. Antispyware Soft Demo
    Plagegeister aller Art und deren Bekämpfung - 27.05.2010 (4)
  6. Antispyware Soft / Antivirus Soft -- auf einem Benutzerkonto weg / auf dem anderen da
    Log-Analyse und Auswertung - 26.05.2010 (0)
  7. Antispyware Soft
    Log-Analyse und Auswertung - 21.05.2010 (7)
  8. Antispyware Soft entdeckt
    Plagegeister aller Art und deren Bekämpfung - 16.05.2010 (1)
  9. Antispyware soft
    Log-Analyse und Auswertung - 11.05.2010 (7)
  10. Antispyware-Soft ...
    Plagegeister aller Art und deren Bekämpfung - 07.05.2010 (1)
  11. AntiSpyWare Soft
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (23)
  12. AntiSpyWare Soft, blockiert Problemlösungen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (3)
  13. AntiSpyWare Soft kommt wieder
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (1)
  14. was tun bei „Antispyware soft“
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (7)
  15. was tun bei „Antispyware soft“
    Mülltonne - 03.05.2010 (18)
  16. Habe ANTISPYWARE SOFT ?????
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (1)
  17. Antispyware Soft entfernen
    Anleitungen, FAQs & Links - 25.04.2010 (2)

Zum Thema Antispyware Soft Infektion - Hallo! Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die - Antispyware Soft Infektion...
Archiv
Du betrachtest: Antispyware Soft Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.