Hallo Arne,

habe OSAM wie in der Anleitung beschrieben ausgeführt und die beiden Haken entfernt. Nach Neustart des Systems habe ich aber irgendwie kein logfile gefunden. Wo finde ich das noch?

Öhm, das Lofile musst Du neu erstellen, indem Du OSAM wie beim ersten Mal wieder ausführst

Hallo Arne,
also irgendwie funktioniert das hier nicht. Nach dem Scan in der Auflistung in der ich die Haken deaktivieren soll, fehlen die beiden Einträge nun komplett. Also kann ich auch nichts deaktivieren oder löschen. Was nun?

Nun nochmal ganz von vorne, hier ist das OSAM 1. logfile nochmal:
OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 22:22:13 on 06.10.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\JAVACPL.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager (Build 380)" (snapman380) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snman380.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Acronis Try&Decide and Restore Points filter (build 140)" (tdrpman140) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm140.sys
"AEGIS Protocol (IEEE 802.1x) v3.7.5.0" (AegisP) - "Cisco Systems, Inc." - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"AMD Athlon64-Prozessortreiber" (AmdK8) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\AmdK8.sys
"Atheros Wireless Network Adapter Service(TP-LINK)" (arusb(TP-LINK)) - "Atheros Communications, Inc." - C:\WINDOWS\System32\DRIVERS\arusb.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Ralf\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Keyboard Filter Driver" (kbfilter) - "WayTech Development, Inc." - C:\WINDOWS\system32\drivers\kbfilter.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PCTools KDS" (PCTCore) - "PC Tools" - C:\WINDOWS\System32\drivers\PCTCore.sys
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VIA Rhine Family Fast Ethernet Adapter Driver Service" (FETNDISB) - "VIA Technologies, Inc.              " - C:\WINDOWS\System32\DRIVERS\fetnd5b.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{AB77609F-2178-4E6F-9C4B-44AC179D937A} "a² Context Menu Shell Extension" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll
{A1EDC4A1-940F-48E0-8DFD-E38F1D501021} "Spyware Doctor" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
{472734EA-242A-422B-ADF8-83D1E48CC825} "PC Tools Browser Guard" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE} "EWPBrowseObject Class" - ? - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{2A0F3D1B-0909-4FF4-B272-609CCE6054E7} "PC Tools Browser Guard BHO" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Programm Magic Keyboard aktivieren.lnk" - ? - C:\Programme\Magic Keyboard\Versato.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Browser Defender Update Service" (Browser Defender Update Service) - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"PC Tools Auxiliary Service" (sdAuxService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsAuxs.exe
"PC Tools Security Service" (sdCoreService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsSvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

Die Einträge sind doch garnicht dabei oder? Ist es richtig, dass du dir den Logfile neu ansiehst?

Wenn die Einträge weg sind ist das doch gut
Hast Du das mit fixmbr und fixboot auch schon gemacht?

Mach ich sobald ich heute Nachmittag zuhause bin

Gruß
Merenga

Hallo Arne,

habe fixmbr und fixboot gemacht.

Hier das neue logfile von MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 131):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF7A3C000 \WINDOWS\system32\KDCOM.DLL
0xF794C000 \WINDOWS\system32\BOOTVID.dll
0xF741B000 fltmgr.sys
0xF73EC000 ACPI.sys
0xF7A3E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF73DB000 pci.sys
0xF753C000 isapnp.sys
0xF7950000 compbatt.sys
0xF7954000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7A40000 viaide.sys
0xF77BC000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF73BD000 pcmcia.sys
0xF754C000 MountMgr.sys
0xF739E000 ftdisk.sys
0xF7958000 ACPIEC.sys
0xF7B04000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF77C4000 PartMgr.sys
0xF755C000 VolSnap.sys
0xF7386000 atapi.sys
0xF756C000 disk.sys
0xF757C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7374000 sr.sys
0xF733B000 PCTCore.sys
0xF7317000 Fastfat.sys
0xF7300000 KSecDD.sys
0xF72ED000 WudfPf.sys
0xF72C0000 NDIS.sys
0xF723D000 timntr.sys
0xF7151000 tdrpm140.sys
0xF7131000 snman380.sys
0xF7117000 Mup.sys
0xF758C000 gagp30kx.sys
0xF779C000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF70AB000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF6BD5000 \SystemRoot\system32\DRIVERS\vtmini.sys
0xF6BC1000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF780C000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6B9D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7814000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF77AC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF70A7000 \SystemRoot\System32\Drivers\kbfilter.SYS
0xF781C000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xED3DE000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AC6000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xEE9D0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xEEAEB000 \SystemRoot\system32\DRIVERS\imapi.sys
0xEEADB000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xEEACB000 \SystemRoot\system32\DRIVERS\redbook.sys
0xED3BB000 \SystemRoot\system32\DRIVERS\ks.sys
0xED324000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xED300000 \SystemRoot\system32\drivers\portcls.sys
0xEEABB000 \SystemRoot\system32\drivers\drmk.sys
0xED29E000 \SystemRoot\system32\drivers\ALCXSENS.SYS
0xED167000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xEE9C8000 \SystemRoot\System32\Drivers\Modem.SYS
0xEEA41000 \SystemRoot\system32\DRIVERS\audstub.sys
0xEEAAB000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF5024000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xED11E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xEEA9B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xEEA8B000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xEE9C0000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xED10D000 \SystemRoot\system32\DRIVERS\psched.sys
0xEEA7B000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xEF058000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xEF050000 \SystemRoot\system32\DRIVERS\raspti.sys
0xEF12A000 \SystemRoot\system32\DRIVERS\termdd.sys
0xEF048000 \SystemRoot\system32\DRIVERS\seehcri.sys
0xEDD65000 \SystemRoot\system32\DRIVERS\swenum.sys
0xEF611000 \SystemRoot\system32\DRIVERS\update.sys
0xEE408000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xEF10A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEF0FA000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xEDD63000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xEFBDB000 \SystemRoot\System32\Drivers\Null.SYS
0xEDD61000 \SystemRoot\System32\Drivers\Beep.SYS
0xEF028000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xEF020000 \SystemRoot\System32\drivers\vga.sys
0xED9BD000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xED9BB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEF018000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7844000 \SystemRoot\System32\Drivers\Npfs.SYS
0xEEA5B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEB2F5000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEB29C000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEB274000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEB252000 \SystemRoot\System32\drivers\afd.sys
0xEF0EA000 \SystemRoot\system32\DRIVERS\netbios.sys
0xEFAE3000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEB227000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEB1B7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xEF0CA000 \SystemRoot\System32\Drivers\Fips.SYS
0xEB191000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xEF0BA000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xEB16F000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xED9B5000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xEF98B000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEFADB000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xEEE5C000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xEFAD3000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xEFACB000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xEFAC3000 \SystemRoot\system32\drivers\ftdibus.sys
0xEEE58000 \SystemRoot\System32\Drivers\UsbFltr.sys
0xEEE54000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xEF97B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xEF96B000 \SystemRoot\system32\drivers\ftser2k.sys
0xEEE40000 \SystemRoot\system32\DRIVERS\serenum.sys
0xEB051000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xEB157000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xED9AF000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF5010000 \SystemRoot\System32\drivers\Dxapi.sys
0xEFAB3000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BB3000 \SystemRoot\System32\drivers\dxgthk.sys
0xF5008000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xBF012000 \SystemRoot\System32\vtdisp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB1FAB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEE4BD000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0xEE9A0000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xED472000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB1EF6000 \SystemRoot\system32\drivers\wdmaud.sys
0xEE49D000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1C6A000 \SystemRoot\system32\DRIVERS\srv.sys
0xB190A000 \SystemRoot\System32\Drivers\HTTP.sys
0xB16D7000 \SystemRoot\system32\drivers\kmixer.sys
0xB1667000 \SystemRoot\system32\DRIVERS\arusb.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 29):
0 System Idle Process
4 System
480 C:\WINDOWS\System32\SMSS.EXE
584 CSRSS.EXE
608 C:\WINDOWS\System32\WINLOGON.EXE
652 C:\WINDOWS\System32\SERVICES.EXE
664 C:\WINDOWS\System32\LSASS.EXE
824 C:\WINDOWS\System32\SVCHOST.EXE
888 SVCHOST.EXE
928 C:\WINDOWS\System32\SVCHOST.EXE
972 C:\WINDOWS\System32\SVCHOST.EXE
1168 SVCHOST.EXE
1260 SVCHOST.EXE
1284 C:\WINDOWS\EXPLORER.EXE
1396 C:\WINDOWS\System32\SPOOLSV.EXE
1440 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE
1572 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\SCHEDUL2.EXE
1584 C:\Programme\Avira\AntiVir Desktop\AVGUARD.EXE
1620 C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
1676 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE
1700 C:\Programme\Avira\AntiVir Desktop\AVGNT.EXE
1728 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
1752 C:\Programme\Java\JRE6\BIN\JQS.EXE
1880 C:\WINDOWS\System32\SVCHOST.EXE
316 C:\WINDOWS\System32\WUAUCLT.EXE
2124 C:\WINDOWS\System32\WBEM\WMIAPSRV.EXE
2200 ALG.EXE
2368 wmiprvse.exe
3464 C:\Dokumente und Einstellungen\Ralf\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`b86c4e00 (FAT32)

PhysicalDrive0 Model Number: ST9808210A, Rev: 3.01

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Gruß
Merenga

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

hier das logfile von malewarebyte:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4769

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.10.2010 16:59:55
mbam-log-2010-10-07 (16-59-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 201143
Laufzeit: 51 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und nun das logfile von SuperAntiSpyware:

SUPERAntiSpyware Scann-Protokoll
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generiert 10/07/2010 bei 07:48 PM

Version der Applikation : 4.44.1000

Version der Kern-Datenbank : 5648
Version der Spur-Datenbank : 3460

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:21:57

Gescannte Speicherelemente : 440
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6517
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 71059
Erfasste Datei-Elemente : 0

Nach dem fixboot ist der Antivir Regenschirm unten rechts in der Taskleiste nicht mehr da. So kann man nicht sehen ob der Guard aktiv ist. Im Programm Antivir auf der Seite Status sieht man, dass der Guard aktiv ist. Wie bekomme ich den Schirm wieder in die Taskleiste?

Hallo Arne,

vergess das was ich mit Antivir geschrieben habe. es hat nur etwas gedauert. Jetzt ist der Schirm wieder da.

Gruß,
Anke

Hallo Arne,

habe leider noch was.
Nachdem der Spyware Doctor nun wieder aktiv ist meldet er folgende Bedrohung:

Application.NetSpy / Bedrohung Hoch / Prozess: Versato.exe (C:\system32\KbHook.dll)
Datei: C:\WINDOWS\System32\KBHook.dll

sowie

Trojan-Downloader.Murlo 22 Infizierungen in der Registry-Wert unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, und viele weitere unter dem gleichen Pfad

und ebenso gleiche Registry Einträge unter Registry-Schlüssel

und auch noch Trojan.Generic / 4 Infizierungen

Registry-Schlüssel:

HKEY_USERS\S-1-21-2325013841-2939211361-3867630695-1005\Software\Wget

Kann das mit den vielen Viren / Analyseprogrammen zusammen hängen die ich im Moment auf dem Rechner habe?

Zitat:

Nachdem der Spyware Doctor nun wieder aktiv ist meldet er folgende Bedrohung:

Application.NetSpy / Bedrohung Hoch / Prozess: Versato.exe (C:\system32\KbHook.dll)
Datei: C:\WINDOWS\System32\KBHook.dll

Kannst Du ignorieren ist ein Fehlalarm.
SpywareDoctor kannst Du getrost deinstallieren.
Noch Probleme oder andere Funde?

Hallo Arne,

das finde ich super, dass es Fehlalarme sind. Andere Funde sind aktuell nicht aufgetaucht.

Aber ich würde gerne noch deine Hilfe für ein sicheres System in Anspruch nehmen.

Kannst Du mir sagen woher der Trojaner kam, obwohl der Rechner immer mit allen nötigen Updates und Antivir sowie der Windows Firewall aktuell ist?

Welcher Virenscanner bzw. zusätzliche Programme sind gut, insbesondere unter der Betrachtung das der Rechner 5 Jahre alt ist, also ein betagter langsamer Rechner.

Gibt es Einstellungen im Windows XP und System die ich ändern sollte, damit das System sicherer ist?

Außerdem hattest Du zu Anfang erwähnt, dass wir die FAT32 Partitionen veraltet sind, und wir hier was ändern sollten. Auf D: liegen aber wichtige Daten.

Ansonsten vielen Dank für Deine kompetente Hilfe. . Das war super.

Zitat:

Kannst Du mir sagen woher der Trojaner kam, obwohl der Rechner immer mit allen nötigen Updates und Antivir sowie der Windows Firewall aktuell ist?

Genau kann man das nicht sagen. Wesentliche Faktoren, um Infektionen zu verhindern, sind auf jeden Fall auch das Verzichten auf Adminrechte und ständiges Aktuellhalten aller Programme, v.a. der kritischen Applikationen wie Java, Flash und PDFReader.
Windows-Firewall an, Updates für Windows und Virenscanner sind schön und gut, allein aber nicht wirklich ausreichend.

Zitat:

Welcher Virenscanner bzw. zusätzliche Programme sind gut, insbesondere unter der Betrachtung das der Rechner 5 Jahre alt ist, also ein betagter langsamer Rechner.

Der Virenscanner ist garnicht so entscheidend. Je nach Sicherheitskonzept kann man auch auf einen im Hintergrund laufenden Scanner verzichten. Ich hab zB zu Hause auf meinen Rechnern keinen im Hintergrund laufenden Virenscanner mehr.

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:

Gibt es Einstellungen im Windows XP und System die ich ändern sollte, damit das System sicherer ist?

Weitgehend oben erklärt. Nicht nur auf die Adminrechte verzichten, gut wär es auch, die automatische Wiedergabe von Wechselmedien (USB-Sticks, CDs etc.) abzuschalten. Denn wenn Du einen Stick mit Autorun-Wurm dranklemmst würde der Schädling automatisch gestartet. Wenn Du dann noch Adminrechte hast und der Virenscanner kennt den Schädling nicht, ist die Infektion da, ohne dass Du was weiteres gemacht hast, als nur den (infizierten) Stick eingesteckt zu haben...
Empfehlenswert ist es auch, dass man Windows so einstellt, dass es die Anzeige der Dateinamenserweiterungen bekannter Dateitypen nicht mehr unterdrückt. Also zB wird eine "setup.exe" standardmäßig als "setup" angezeigt. Diesen Umstand machen sich manche Schädlinge zu Nutze, indem sie sich als "britney_spears_nackt.jpg.exe" oder sowas in Mailanhängen ausgeben, Windows dann aber nur "britney_spears_nackt.jpg" anzeigt, und schon glaubt der user er klickt auf ein jpg-Bild

Zitat:

Außerdem hattest Du zu Anfang erwähnt, dass wir die FAT32 Partitionen veraltet sind, und wir hier was ändern sollten. Auf D: liegen aber wichtige Daten.

Kann man ohne Datenverlust zu NTFS konvertieren.
convert c: /fs:ntfs => für die Systempartition
convert d: /fs:ntfs => für Laufwerk D:


Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Hallo Arne,

danke für die Tipps, werde Benutzerkonto einrichten, alle übrigen Vorsichtsmaßnahme befolgen wir bereits. Schade, dass es trotzdem passiert ist.

Nun zu der Umstellung auf NTFS. Nachdem ich cmd eingetippt habe erscheint das schwarze Fenster.
Der Pfad der dort dann angezeigt wird ist C:\Dokumente und Einstellung\Ralf>
Nach der Eingabe von dem Befehl convert.... erscheint die Meldung, dass CONVERT nicht ausgeführt werden kann, da das Volume von einem anderen Prozess verwendet wird. Die Bereitstellung des Volumes muss zuerst aufgehoben werden. Alle offenen Bezüge auf dieses Volume sind dann ungültig. Möchten Sie die Bereitstellung des Volumes aufheben? (J/N)

Bevor ich was kaputt mache, geb mir bitte Bescheid was ich hier tuen muß.
Danke...