Whistler Black Internet

cosinus · 14.09.2010, 20:00

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O33 - MountPoints2\{5d9670eb-5e79-11df-9f5a-90e6ba0e8fe4}\Shell\AutoRun\command - "" = D:\Menu.exe -- File not found
@Alternate Data Stream - 175 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CB0AACC9
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Mave · 14.09.2010, 20:13

Hier das OTL log, hab zwar einen Schwerwiegenden Fehler von Microsoft gemeldet bekommen 2-3 mal danach kam aber keiner wieder.

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5d9670eb-5e79-11df-9f5a-90e6ba0e8fe4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5d9670eb-5e79-11df-9f5a-90e6ba0e8fe4}\ not found.
File D:\Menu.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CB0AACC9 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Mavor
->Temp folder emptied: 406548350 bytes
->Temporary Internet Files folder emptied: 6417794 bytes
->Java cache emptied: 15722383 bytes
->FireFox cache emptied: 149469659 bytes
->Flash cache emptied: 91644 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1320043 bytes
%systemroot%\System32 .tmp files removed: 1622071 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 404301 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 555,00 mb
 
 
OTL by OldTimer - Version 3.2.12.0 log created on 09142010_210715

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

btw : Wie bekomme ich das denn gelöscht Malwarebyte hat es glaube ich nicht gelöscht -> No action taken.

Infizierte Dateien:
I:\System Volume Information\_restore{8BF581C6-23F5-40E9-888F-0613985918CB}\RP108\A0032583.exe (Trojan.Agent) -> No action taken.

cosinus · 14.09.2010, 21:02

Ist erstmal irrelevant. Führ bitte erstmal CF aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Mave · 15.09.2010, 13:30

Habe den CCcleaner wie beschrieben in der Anleitung ausgeführt.

c:\dokumente und einstellungen\mavor\desktop\cofi.exe/32788R22FWJFW\catchme.cfxxe
c:\dokumente und einstellungen\mavor\desktop\cofi.exe/32788R22FWJFW\FileKill.cfxxe

Zwei falsch Meldungen von Kaspersky nehme ich mal an ?

Und hier das Combofix log

Code:

ATTFilter

ComboFix 10-09-14.01 - Mavor 15.09.2010  14:12:31.1.8 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3063.2615 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Mavor\Desktop\cofi.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Mavor\Eigene Dateien\cc_20100914_223614.reg
c:\windows\system32\Data

----- BITS: Eventuell infizierte Webseiten -----

hxxp://patch.starwarsgalaxies.com:7041
.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-15 bis 2010-09-15  ))))))))))))))))))))))))))))))
.

2010-09-14 20:28 . 2010-09-14 20:28	--------	d-----w-	c:\programme\CCleaner
2010-09-14 19:07 . 2010-09-14 19:07	--------	d-----w-	C:\_OTL
2010-09-14 11:10 . 2010-09-14 11:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-09-13 20:09 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-13 20:09 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-12 14:05 . 2010-09-12 14:05	--------	d-----w-	c:\programme\Alcohol Soft
2010-09-11 17:10 . 2010-09-11 17:10	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\Malwarebytes
2010-09-11 17:10 . 2010-09-13 20:09	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-11 17:10 . 2010-09-11 17:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-11 16:55 . 2010-09-11 16:45	2937720	----a-w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\Simply Super Software\Trojan Remover\bjv3.exe
2010-09-11 16:44 . 2006-06-19 10:01	69632	----a-w-	c:\windows\system32\ztvcabinet.dll
2010-09-11 16:44 . 2006-05-25 12:52	162304	----a-w-	c:\windows\system32\ztvunrar36.dll
2010-09-11 16:44 . 2005-08-25 22:50	77312	----a-w-	c:\windows\system32\ztvunace26.dll
2010-09-11 16:44 . 2003-02-02 17:06	153088	----a-w-	c:\windows\system32\UNRAR3.dll
2010-09-11 16:44 . 2002-03-05 22:00	75264	----a-w-	c:\windows\system32\unacev2.dll
2010-09-11 16:44 . 2010-09-11 22:57	--------	d-----w-	c:\programme\Trojan Remover
2010-09-11 16:44 . 2010-09-11 16:44	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\Simply Super Software
2010-09-04 18:03 . 2010-09-06 14:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane
2010-09-04 18:00 . 2010-09-04 18:00	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\wargaming.net
2010-08-23 10:22 . 2010-06-02 02:55	74072	----a-w-	c:\windows\system32\XAPOFX1_5.dll
2010-08-23 10:22 . 2010-06-02 02:55	527192	----a-w-	c:\windows\system32\XAudio2_7.dll
2010-08-23 10:22 . 2010-06-02 02:55	239960	----a-w-	c:\windows\system32\xactengine3_7.dll
2010-08-23 10:22 . 2010-05-26 09:41	248672	----a-w-	c:\windows\system32\d3dx11_43.dll
2010-08-23 10:22 . 2010-05-26 09:41	2106216	----a-w-	c:\windows\system32\D3DCompiler_43.dll
2010-08-23 10:22 . 2010-05-26 09:41	1868128	----a-w-	c:\windows\system32\d3dcsx_43.dll
2010-08-23 10:22 . 2010-05-26 09:41	470880	----a-w-	c:\windows\system32\d3dx10_43.dll
2010-08-23 10:22 . 2010-05-26 09:41	1998168	----a-w-	c:\windows\system32\D3DX9_43.dll
2010-08-23 10:07 . 2010-08-23 10:23	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Lokale Einstellungen\Anwendungsdaten\pcsx2
2010-08-19 19:33 . 2010-08-19 19:34	--------	d-----w-	c:\programme\TeamSpeak 3 Client
2010-08-19 19:29 . 2010-08-19 19:34	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\TS3Client
2010-08-17 01:39 . 2010-08-17 02:02	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-15 12:15 . 2010-01-02 19:02	89632	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-09-15 12:15 . 2010-01-02 19:02	3246112	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2010-09-15 12:14 . 2010-01-02 19:02	32	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2010-09-15 12:09 . 2010-01-02 19:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-09-14 23:00 . 2010-01-02 19:02	320744	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2010-09-14 20:34 . 2010-01-03 21:35	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\Media Player Classic
2010-09-14 15:33 . 2010-01-02 21:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zoom Player
2010-09-12 14:02 . 2010-01-02 23:10	722416	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-09-11 16:55 . 2010-01-15 06:07	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-09-11 16:52 . 2010-01-06 03:02	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\UseNeXT
2010-09-11 16:52 . 2010-09-11 16:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-09-11 14:18 . 2010-01-03 16:23	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\uTorrent
2010-09-04 20:08 . 2010-07-26 21:26	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\W
2010-09-04 16:16 . 2010-02-28 05:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\BioWare
2010-08-17 00:13 . 2010-01-08 21:22	--------	d-----w-	c:\dokumente und einstellungen\Mavor\Anwendungsdaten\ICQ
2010-08-07 03:45 . 2010-01-02 17:19	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-07 03:00 . 2010-07-28 03:19	--------	d-----w-	c:\programme\e2eSoft
2010-08-04 17:14 . 2010-01-02 19:03	97549	----a-w-	c:\windows\system32\drivers\klick.dat
2010-08-04 17:14 . 2010-01-02 19:03	113933	----a-w-	c:\windows\system32\drivers\klin.dat
2010-08-04 03:33 . 2010-08-04 03:33	--------	d-----w-	c:\programme\UltraISO
2010-08-04 03:33 . 2010-08-04 03:33	--------	d-----w-	c:\programme\Gemeinsame Dateien\EZB Systems
2010-08-03 20:32 . 2010-01-09 21:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-07-29 00:56 . 2010-07-28 19:27	47364	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll
2010-07-28 17:47 . 2010-07-28 17:47	--------	d-----w-	c:\programme\LibUSB-Win32-0.1.10.1
2010-07-22 20:16 . 2010-06-05 19:11	2479968	----a-w-	c:\windows\system32\AutoPartNt.exe
2010-06-18 21:30 . 2010-06-18 21:30	2120040	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\7299dcb54d2687c693de1dd326cf2b52\modules\ml\script\javascript\1.0\bin-release\v8.dll
2010-06-18 21:30 . 2010-06-18 21:30	415592	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\7299dcb54d2687c693de1dd326cf2b52\modules\ml\lib\mluichart\1.0\bin-release\locust-mluichart-2_1.dll
2010-06-18 21:30 . 2010-06-18 21:30	363368	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\7299dcb54d2687c693de1dd326cf2b52\modules\ml\script\javascript\1.0\bin-release\locust-mljavascript-2_1.dll
2010-06-18 21:30 . 2010-06-18 21:30	1828200	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\7299dcb54d2687c693de1dd326cf2b52\modules\ml\lib\mluichart\1.0\bin-release\chartdir41.dll
2010-06-18 21:30 . 2010-06-18 21:30	67944	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\7299dcb54d2687c693de1dd326cf2b52\modules\ml\lib\mlscript\1.0\bin-release\locust-mlscript-2_1.dll
2010-06-18 21:30 . 2010-06-18 21:30	1855848	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\7299dcb54d2687c693de1dd326cf2b52\modules\ml\lib\mlui\1.0\bin-release\locust-mlui-2_1.dll
2010-06-18 21:28 . 2010-06-18 21:28	809320	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\17087c152ae37ec5be972e9220a9e5c8\modules\ml\game system\city\1.0\bin-release\mh2-gamesys_city-1_0.dll
2010-06-18 21:28 . 2010-06-18 21:28	3743592	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Muzzy Lane\Making History II\17087c152ae37ec5be972e9220a9e5c8\modules\ml\game system\aiutility\1.0\bin-release\mh2-gamesys_aiutility-1_0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-13 13670504]
"TrojanScanner"="c:\programme\Trojan Remover\Trjscan.exe" [2009-02-15 1214856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2009-11-12 03:42	362032	----a-w-	c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
2008-02-08 17:36	227856	----a-w-	c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTSyncService]
2008-04-17 13:04	1233196	------w-	c:\programme\InstallShield Installation Information\{3A94E148-9C8B-4FE9-99DD-93072F99BE20}\AMBSPISyncService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2009-11-16 08:36	172792	-c--a-w-	e:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2004-08-03 21:32	208952	----a-w-	c:\windows\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-06-24 15:06	1840424	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]
2007-03-20 06:36	36864	------r-	c:\windows\RaidTool\xInsIDE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2010-03-30 09:16	1820040	----a-w-	c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-08-03 23:58	1667584	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
2004-08-03 21:31	59392	----a-w-	c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-06-08 08:31	2221352	-c--a-w-	e:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-06-19 08:53	570664	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-04-13 12:37	13670504	----a-w-	c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-04-13 12:37	110696	----a-w-	c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSSelectorReinstall]
2007-03-09 14:29	2224104	----a-w-	c:\programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-03 21:32	455168	----a-w-	c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-03 21:32	455168	----a-w-	c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
2008-03-24 11:43	884736	----a-w-	c:\programme\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2008-03-16 21:29	1040384	----a-r-	c:\programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-02 19:58	149280	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
2009-02-15 14:53	1214856	----a-w-	c:\programme\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2009-11-12 03:42	5140960	-c--a-w-	e:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
2000-05-11 00:00	90112	------w-	c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VolPanel]
2008-02-11 16:53	221288	------w-	c:\programme\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"e:\\Gamez\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"e:\\Gamez\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"=
"e:\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Creative\\SB X-Fi MB\\WaveStudio 7\\CTWave.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"i:\\Gamez\\Valve\\Steam\\Steam.exe"=
"e:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"i:\\Gamez\\Valve\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=
"e:\\Gamez\\Mass Effect 2\\Binaries\\MassEffect2.exe"=
"e:\\Gamez\\Mass Effect 2\\MassEffect2Launcher.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Gamez\\Men of War\\mow_mp.exe"=
"e:\\Gamez\\Men of War\\outfront_mp.exe"=
"c:\\Programme\\server Teamspeak2_RC2\\server_windows.exe"=
"e:\\Gamez\\Konami\\PES2008.exe"=
"e:\\Gamez\\Starcraft 2\\StarCraft II.exe"=
"e:\\Gamez\\Starcraft 2\\Versions\\Base15405\\SC2.exe"=
"i:\\Gamez\\Valve\\Steam\\SteamApps\\common\\napoleon total war\\Napoleon.exe"=
"e:\\Gamez\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"=
"e:\\Gamez\\World of Warcraft\\Launcher.exe"=
"e:\\Gamez\\World of Warcraft\\Repair.exe"=
"e:\\Gamez\\Mass Effect\\Binaries\\MassEffect.exe"=
"e:\\Gamez\\Mass Effect\\MassEffectLauncher.exe"=
"e:\\Gamez\\Muzzy Lane Software\\Making History II\\MH2.exe"=

R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [05.06.2010 19:54 911680]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [05.06.2010 19:54 2480048]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
R2 StudioPro;StudioPro webcam;c:\windows\system32\drivers\StudioPro.sys [03.01.2010 02:45 120320]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [05.06.2010 19:54 160288]
R3 AmbFilt;AmbFilt;c:\windows\system32\drivers\Ambfilt.sys [02.01.2010 19:19 1683712]
R3 EuMusDesignVirtualAudioCableWdm;StudioPro audio (WDM);c:\windows\system32\drivers\vrtaucbl.sys [05.06.2010 06:31 38784]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 14:28 24592]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [28.07.2010 19:47 33792]
S2 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32mpcoinst,serviceStartProc --> RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [?]
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\Mavor\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\Mavor\LOKALE~1\Temp\ALSysIO.sys [?]
S3 e2eVAWdm;e2eSoft VAudio;c:\windows\system32\drivers\VAud_WDM.sys [28.07.2010 05:19 48096]
S3 Sound Blaster X-Fi MB Licensing Service;Sound Blaster X-Fi MB Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\XMBLicensing.exe [02.01.2010 19:23 79360]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03.01.2010 01:10 722416]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Mavor\Anwendungsdaten\Mozilla\Firefox\Profiles\g9yo2xi1.default\
FF - prefs.js: browser.startup.homepage - www.google.de

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
MSConfigStartUp-Adobe ARM - c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\DTLite.exe
MSConfigStartUp-nwiz - nwiz.exe
MSConfigStartUp-RGSC - e:\gamez\GTA4\Rockstar Games Social Club\RGSCLauncher.exe
AddRemove-JDownloader - x:\neu\JDownloader\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-15 14:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-606747145-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:0e,e0,d2,20,e2,d8,e2,47,69,19,a4,7e,58,a9,1e,c0,29,c3,d2,f6,e2,
   30,01,cf,f4,19,9c,bc,9c,ed,07,05,18,c7,51,44,55,9b,60,c6,c6,39,6c,0e,8a,c8,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1604)
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'lsass.exe'(1660)
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\fssync.dll
.
Zeit der Fertigstellung: 2010-09-15  14:16:04
ComboFix-quarantined-files.txt  2010-09-15 12:16

Vor Suchlauf: 10 Verzeichnis(se), 40.552.656.896 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 40.509.599.744 Bytes frei

- - End Of File - - D5C3A0B584EB4270779270D485FBDFF1

cosinus · 15.09.2010, 14:33

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Mave · 15.09.2010, 16:33

GMER wollte nicht.

Hier das log von OSAM

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:16:55 on 15.09.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.12

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"CreativeAudioConsole" - "Creative Technology Ltd" - C:\Programme\Creative\SB X-Fi MB\AudioCS\CTAudCS.cpl
"Nero BurnRights" - "Nero AG" - E:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl
"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis Try&Decide and Restore Points filter (build 258)" (tdrpman258) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm258.sys
"afcdp" (afcdp) - "Acronis" - C:\WINDOWS\System32\DRIVERS\afcdp.sys
"ALSysIO" (ALSysIO) - ? - C:\DOKUME~1\Mavor\LOKALE~1\Temp\ALSysIO.sys  (File not found)
"AsIO" (AsIO) - ? - C:\WINDOWS\System32\drivers\AsIO.sys  (File found, but it contains no detailed information)
"ATITool Overclocking Utility" (ATITool) - ? - C:\WINDOWS\System32\DRIVERS\ATITool.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Mavor\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"e2eSoft VAudio" (e2eVAWdm) - "e2eSoft" - C:\WINDOWS\System32\DRIVERS\VAud_WDM.sys
"e2eSoft VCam" (VCam_WDM) - "e2eSoft" - C:\WINDOWS\System32\DRIVERS\VCam_WDM.sys
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Kl1" (kl1) - "Kaspersky Lab" - C:\WINDOWS\System32\drivers\kl1.sys
"Klif" (klif) - "Kaspersky Lab" - C:\WINDOWS\system32\drivers\klif.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"LibUsb-Win32 - Kernel Driver, Version 0.1.10.1" (libusb0) - ? - C:\WINDOWS\System32\drivers\libusb0.sys
"mbr" (mbr) - ? - C:\DOKUME~1\Mavor\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"StudioPro audio (WDM)" (EuMusDesignVirtualAudioCableWdm) - "Eugene V. Muzychenko" - C:\WINDOWS\System32\DRIVERS\vrtaucbl.sys
"StudioPro webcam" (StudioPro) - "e2eSoft" - C:\WINDOWS\System32\DRIVERS\StudioPro.sys
"SuperWebcam, WDM Virtual Video Capture Device" (SUPERWEBCAM) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\DRIVERS\superwebcam.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "skype4com" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis Secure Zone" - "Acronis" - E:\Programme\Acronis\TrueImageHome\tishell.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - E:\Programme\Acronis\TrueImageHome\tishell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - E:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{85E0B171-04FA-11D1-B7DA-00A0C90348D6} "Statistik für Web-Anti-Virus" - "Kaspersky Lab" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
{52B87208-9CCF-42C9-B88E-069281105805} "Trojan Remover Shell Extension" - "Simply Super Software" - C:\PROGRA~1\TROJAN~1\Trshlex.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{ABE00001-0123-ABED-1248-0248ADFA1909} "ZPShellExt" - ? - C:\PROGRA~1\ZOOMPL~1\zpshlext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ6" - "ICQ, LLC." - E:\Programme\ICQ6.5\ICQ.exe
{85E0B171-04FA-11D1-B7DA-00A0C90348D6} "Statistik für Web-Anti-Virus" - "Kaspersky Lab" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Mavor\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"AVP" - "Kaspersky Lab" - "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"TrojanScanner" - "Simply Super Software" - C:\Programme\Trojan Remover\Trjscan.exe /boot

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Creative Audio Service" (CTAudSvcService) - "Creative Technology Ltd" - C:\Programme\Creative\Shared Files\CTAudSvc.exe
"Creative Service for CDROM Access" (Creative Service for CDROM Access) - "Creative Technology Ltd" - C:\WINDOWS\system32\CTsvcCDA.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Kaspersky Anti-Virus 7.0" (AVP) - "Kaspersky Lab" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
"LibUsb-Win32 - Daemon, Version 0.1.10.1" (libusbd) - "hxxp://libusb-win32.sourceforge.net" - C:\WINDOWS\System32\libusbd-nt.exe
"LogMeIn Hamachi 2.0 Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"PLFlash DeviceIoControl Service" (PLFlash DeviceIoControl Service) - "Prolific Technology Inc." - C:\WINDOWS\system32\IoctlSvc.exe
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"Sound Blaster X-Fi MB Licensing Service" (Sound Blaster X-Fi MB Licensing Service) - "Creative Labs" - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\XMBLicensing.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"klogon" - "Kaspersky Lab" - C:\WINDOWS\system32\klogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

cosinus · 15.09.2010, 17:47

Was ist mit Bootkit Remover?

Mave · 15.09.2010, 18:00

Soll ich Bootkit Remover noch einmal ausführen ?
In deinem letzten Post stand nähmlich nur etwas von GMER und osam.

cosinus · 15.09.2010, 18:02

Ach sry ich bin doof, den MBR hatten wir ja schon überprüft!

Das OSAM Log sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Mave · 15.09.2010, 18:05

Alles klar werde ich machen

Mave · 15.09.2010, 20:15

Hier schon einmal der Malwarebyte log saws läuft gerade noch.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4610

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

15.09.2010 21:12:26
mbam-log-2010-09-15 (21-12-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|R:\|)
Durchsuchte Objekte: 787222
Laufzeit: 1 Stunde(n), 52 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
I:\System Volume Information\_restore{8BF581C6-23F5-40E9-888F-0613985918CB}\RP108\A0032583.exe (Trojan.Agent) -> No action taken.

Soll ich die Infizierte Datei von MB löschen lassen?

cosinus · 15.09.2010, 20:28

Ja bitte löschen

Mave · 15.09.2010, 20:52

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4610

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

15.09.2010 21:51:36
mbam-log-2010-09-15 (21-51-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|R:\|)
Durchsuchte Objekte: 787222
Laufzeit: 1 Stunde(n), 52 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
I:\System Volume Information\_restore{8BF581C6-23F5-40E9-888F-0613985918CB}\RP108\A0032583.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Gelöscht.

Mave · 16.09.2010, 16:52

Hier das sasw.

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/16/2010 at 03:57 PM

Application Version : 4.42.1000

Core Rules Database Version : 5513
Trace Rules Database Version: 3325

Scan type       : Complete Scan
Total Scan Time : 03:17:05

Memory items scanned      : 323
Memory threats detected   : 0
Registry items scanned    : 7083
Registry threats detected : 0
File items scanned        : 688033
File threats detected     : 18

Adware.Tracking Cookie
	.doubleclick.net [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.fastclick.net [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.fastclick.net [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.fastclick.net [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.adfarm1.adition.com [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.adtech.de [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	www.zanox-affiliate.de [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.zanox-affiliate.de [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.apmebf.com [ R:\programme\Mozilla backuP\mozilla Profil\2vvi2lna.default\cookies.txt ]
	.doubleclick.net [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	.fastclick.net [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	.fastclick.net [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	.fastclick.net [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	.adfarm1.adition.com [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	.adtech.de [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	www.zanox-affiliate.de [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	.zanox-affiliate.de [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]
	.apmebf.com [ R:\programme\Mozilla backuP\mozilla Profil\Profiles\2vvi2lna.default\cookies.txt ]

Werde den Ordner hier sowieso löschen habe mir grad die html datei von Firefox gesichert.

Mir ist gerade eben noch aufgefallen das die Buttons an meiner G11 Tastatur nicht richtig funktionieren z.b. wenn ich ein lied überspringen möchte im Winamp, könnte es daran liegen das unter
- Start > Einstellungen > Systemsteuerung > Verwaltung > Dienste - Der HID Input Service nicht aktiv ist ? ( ging vor dem Virus befall noch, da bin ich mir sicher )

Kann ihn jedenfalls nicht starten bekomme dann die Meldung : Der Dienst "HID Input Service auf Lokaler Computer konnte nicht gestartet werden.
Fehler 126: Das angegebene Modul wurde nicht gefunden.

Hast du vllt eine ahnung woran das liegt?

cosinus · 16.09.2010, 19:51

Siet soweit ok aus und wir wären mit der bereinigung auch durch. Ich poste Dir nachher noch einen Leitfaden zum Update Deines Systems.

Zitat:

"HID Input Service" (HidServ) - ? - C:\WINDOWS\System32\hidserv.dll (File not found)

Steht im OSAM-Log, die hidserv.dll fehlt. hab Dir eine hochgeladen => File-Upload.net - hidserv.dll
Musst sie nur nach C:\Windows\system32 kopieren

15.09.2010, 14:33	#20
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Whistler Black Internet Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus __________________ Logfiles bitte immer in CODE-Tags posten

15.09.2010, 17:47	#22
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Whistler Black Internet Was ist mit Bootkit Remover? __________________ Logfiles bitte immer in CODE-Tags posten

15.09.2010, 18:02	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Whistler Black Internet Ach sry ich bin doof, den MBR hatten wir ja schon überprüft! Das OSAM Log sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

15.09.2010, 20:28	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Whistler Black Internet Ja bitte löschen __________________ Logfiles bitte immer in CODE-Tags posten

Whistler Black Internet

Plagegeister aller Art und deren Bekämpfung: Whistler Black Internet