Trojan.Win32.Agent!A2 gefunden

Hooschi · 05.10.2010, 14:20

Hallo!

Ich hatte Gestern Probleme mit dem Online-Banking.

Also habe ich einen Scan mit Emisoft Anti-Malware gemacht. Und siehe da, Trojan.Win32.Agent!A2 wurde gefunden und in Quarantäne gestellt.

Wie hier beschrieben habe ich auch OTL durchlaufen lassen.

Hier die Logfiles:

Anhang 9519

Anhang 9520

Könnt ihr mir helfen den Trojaner loszuwerden?

Gruß

Thorsten

cosinus · 05.10.2010, 20:36

Zitat:

Und siehe da, Trojan.Win32.Agent!A2 wurde gefunden und in Quarantäne gestellt.

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Hooschi · 06.10.2010, 06:33

Doppelposting. Entschuldigung.

Hooschi · 06.10.2010, 06:36

Hallo,

das hier ist der Quarantäne-Bericht. Ich hoffe das reicht euch. Wenn ihr noch etwas benötigt, bitte kurze Info.

Emsisoft Anti-Malware v. 5.0.0.81
(C) 2003-2010 Emsi Software GmbH - www.emsisoft.com

ID Object
0 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP915\A0111584.exe Trojan.Win32.Agent!A2
1 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O54LWJAZ\nh[1].exe Trojan.Win32.Agent!A2
2 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP917\A0111680.exe Trojan.Win32.Agent!A2
3 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP913\A0111494.exe Trojan.Win32.Agent!A2
4 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP915\A0111553.exe Trojan.Win32.Agent!A2
5 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O54LWJAZ\ni[1].exe Trojan.Win32.Agent!A2

Gruß

Thorsten

cosinus · 06.10.2010, 13:39

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hooschi · 06.10.2010, 17:51

Hallo,

hier der Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4754

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.10.2010 18:47:19
mbam-log-2010-10-06 (18-47-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 277039
Laufzeit: 1 Stunde(n), 59 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich habe die Dateien löschen lassen. Kann ich die mit Emsisoft Anti-Malware in Quarantäne geschobenen Dateien auch löschen?

Gruß

Thorsten

cosinus · 06.10.2010, 20:26

Zitat:

Kann ich die mit Emsisoft Anti-Malware in Quarantäne geschobenen Dateien auch löschen?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Hooschi · 07.10.2010, 06:30

Hallo,

genauso habe ich mir das auch gedacht. Ich habe mich nur gewundert, dass bei Malwarebytes die Dateien gelöscht werden sollen.

Ist denn jetzt wieder alles in Ordnung auf meiner Festplatte? Oder soll ich noch etwas machen?

Gruß

Thorsten

cosinus · 07.10.2010, 13:41

Nein wir sind noch nicht durch. Bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hooschi · 07.10.2010, 16:47

Hallo,

hier der combofix-Bericht:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-06.03 - admin 07.10.2010  17:25:46.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.958.439 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Temp

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-07 bis 2010-10-07  ))))))))))))))))))))))))))))))
.

2010-10-07 15:03 . 2010-10-07 15:03	--------	d-----w-	c:\programme\CCleaner
2010-10-07 11:05 . 2010-10-07 11:05	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 10:58 . 2010-10-07 10:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-10-06 13:33 . 2010-10-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Malwarebytes
2010-10-06 13:33 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-06 13:33 . 2010-10-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-06 13:33 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-06 13:33 . 2010-10-06 13:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-05 08:34 . 2010-10-05 12:16	--------	d-----w-	c:\programme\Emsisoft Anti-Malware
2010-10-05 05:18 . 2010-10-05 05:29	--------	d-----w-	c:\programme\a-squared Free
2010-10-04 18:52 . 2010-10-04 18:54	--------	d-----w-	c:\programme\Trojancheck 6

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 15:19 . 2010-01-30 10:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-07 15:09 . 2010-01-28 10:00	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Winamp
2010-10-04 17:11 . 2009-03-23 17:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-10-04 17:09 . 2009-03-23 17:52	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-10-04 17:09 . 2009-03-23 17:52	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-04 17:09 . 2009-03-23 17:52	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-08-17 18:04 . 2010-08-17 18:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland
2010-07-22 15:48 . 2006-02-28 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-08-10 05:01	423656	----a-w-	c:\windows\system32\deployJava1.dll
2008-04-14 02:22 . 2006-02-28 12:00	1028	--sha-r-	c:\windows\drv_spww.bin
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Reminder"="c:\programme\Microsoft Money\System\reminder.exe" [1999-03-14 37376]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-11-16 577536]
"VTTimer"="VTTimer.exe" [2005-03-07 53248]
"VTTrayp"="VTtrayp.exe" [2006-03-23 176128]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-10-04 282792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-01-13 37888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\WinWorker\\Sonstige\\SPRS\\SPRSServer.exe"=
"c:\\Programme\\WinWorker\\DLLs\\wwms.exe"=
"c:\\Programme\\WinWorker\\Dlls\\WWDokumentenmanagement.exe"=
"c:\\Programme\\WinWorker\\Dlls\\wwdm.dll"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Spiele\\Stronghold2\\Stronghold2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"62720:TCP"= 62720:TCP:WinWorker Lizenzserver (SPLS) TCP
"62720:UDP"= 62720:UDP:WinWorker Lizenzserver (SPLS) UDP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [05.10.2010 10:34 2909536]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [04.10.2010 19:11 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.03.2009 19:52 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [04.10.2010 19:11 405672]
R2 OKI OPHD DCS Loader;OKI OPHD DCS Loader;c:\windows\system32\spool\drivers\w32x86\3\OPHDLDCS.EXE [25.07.2007 14:18 24576]
R2 SPLS;S+P Lizenzverwaltung;c:\windows\SP Services\SPLS\SPLSServer.exe [25.07.2007 14:51 262760]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [05.10.2010 10:34 72808]
R3 CBUSB;MARX CryptoTech LP;c:\windows\system32\drivers\CBUSB.SYS [25.07.2007 14:52 45056]
.
Inhalt des "geplante Tasks" Ordners

2010-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\69izxi6h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(680)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(948)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-10-07  17:39:13
ComboFix-quarantined-files.txt  2010-10-07 15:39

Vor Suchlauf: 9 Verzeichnis(se), 117.554.020.352 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 120.253.894.656 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - A26D1E4C6A0AFD767C672ED7A61663D9

--- --- ---

Blöderweise ist beim Ausführen von combofix ein Fenster aufgegangen und Spybot wollte das System überprüfen. Ich habe auf Abbrechen gedrückt. Ich weiss auch nicht warum das passiert ist. Ich hatte alle Programme aus und habe die Wächter ausgeschaltet.

Gruß

Thorsten

cosinus · 07.10.2010, 19:08

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hooschi · 08.10.2010, 11:06

Hallo,

hier die Logs:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-08 10:12:54
Windows 5.1.2600 Service Pack 3
Running: 71r0njrd.exe; Driver: C:\DOKUME~1\admin\LOKALE~1\Temp\kglcipob.sys


---- System - GMER 1.0.15 ----

SSDT  F7AA062E  ZwCreateKey
SSDT  F7AA0624  ZwCreateThread
SSDT  F7AA0633  ZwDeleteKey
SSDT  F7AA063D  ZwDeleteValueKey
SSDT  F7AA065B  ZwLoadDriver
SSDT  F7AA0642  ZwLoadKey
SSDT  F7AA0610  ZwOpenProcess
SSDT  F7AA0615  ZwOpenThread
SSDT  F7AA064C  ZwReplaceKey
SSDT  F7AA0647  ZwRestoreKey
SSDT  F7AA0660  ZwSetSystemInformation
SSDT  F7AA0638  ZwSetValueKey
SSDT  F7AA061F  ZwTerminateProcess
SSDT  F7AA061A  ZwWriteVirtualMemory

---- EOF - GMER 1.0.15 ----

--- --- ---

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:00:14 on 08.10.2010
OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "AppleSoftwareUpdate.job" "Apple Computer, Inc." C:\Programme\Apple Software Update\SoftwareUpdate.exe File exists
Control Panel Objects
%SystemRoot%\system32
|||||| "ALSNDMGR.CPL" C:\WINDOWS\system32\ALSNDMGR.CPL File signed by Microsoft | File found, but it contains no detailed information
|||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS\system32\infocardcpl.cpl File exists
|||||| "javacpl.cpl" "Sun Microsystems, Inc." C:\WINDOWS\system32\javacpl.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "Avira AntiVir Personal - Free Antivirus " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists
|||||| "QuickTime" "Apple Computer, Inc." C:\Programme\QuickTime\QTSystem\QuickTime.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
"a2acc" (a2acc) "Emsi Software GmbH" C:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2accx86.sys File exists
|||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\DOKUME~1\admin\LOKALE~1\Temp\catchme.sys File not found
"Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found
"GMSIPCI" (GMSIPCI) D:\INSTALL\GMSIPCI.SYS File not found
"i2omgmt" (i2omgmt) C:\WINDOWS\system32\drivers\i2omgmt.sys File not found
"lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found
"PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\ssmdrv.sys File exists
|||||| "USB RNDIS Adapter" (usb_rndisx) "Microsoft Corporation" C:\WINDOWS\System32\DRIVERS\usb8023x.sys File exists
|||||| "USB Serial Converter Driver" (FTDIBUS) "FTDI Ltd." C:\WINDOWS\System32\drivers\ftdibus.sys File exists
|||||| "USB Serial Port Driver" (FTSER2K) "FTDI Ltd." C:\WINDOWS\System32\drivers\ftser2k.sys File exists
"WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
HKLM\Software\Classes\Protocols\Filter
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL File exists
|||||| {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Programme\7-Zip\7-zip.dll File exists
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found
|||||| {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" "Microsoft Corporation" c:\WINDOWS\system32\mscoree.dll File exists
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\msohev.dll File exists
|||||| {49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" "Microsoft Corporation" C:\PROGRA~1\MI3AA1~1\Wcesview.dll File exists
|||||| {9AF41401-0C93-11D4-A854-00105A80791C} "OKI Network Extension" "Oki Data Corporation" C:\WINDOWS\system32\opnetext.dll File exists
|||||| {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL File exists
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists
|||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" c:\WINDOWS\system32\dfshim.dll File exists
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
|||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" c:\WINDOWS\system32\dfshim.dll File exists
|||||| {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
ITBar7Height "ITBar7Height" File not found | COM-object registry key not found
"ITBar7Layout" File not found | COM-object registry key not found
"ITBarLayout" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_21.dll File exists
|||||| {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_21.dll File exists
|||||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_21.dll File exists
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab File not found | COM-object registry key not found
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab File not found | COM-object registry key not found
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab File not found | COM-object registry key not found
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" "Microsoft Corporation" C:\PROGRA~1\MI3AA1~1\INetRepl.dll File exists
|||||| {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" "Safer Networking Limited" C:\PROGRA~1\SPYBOT~1\SDHelper.dll File exists
|||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" "Microsoft Corporation" C:\PROGRA~1\MI3AA1~1\INetRepl.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" "Adobe Systems Incorporated" C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll File exists
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jp2ssv.dll File exists
|||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File exists
|||||| {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" "Safer Networking Limited" C:\PROGRA~1\SPYBOT~1\SDHelper.dll File exists
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini File exists
|||| "Microsoft Office.lnk" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\OSA.EXE Shortcut exists | File exists
%UserProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Autostart\desktop.ini File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
|||| "H/PC Connection Agent" "Microsoft Corporation" "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" File exists
|| "Reminder" "Microsoft Corporation" C:\Programme\Microsoft Money\System\reminder.exe File exists
|||||| "SpybotSD TeaTimer" "Safer-Networking Ltd." C:\Programme\Spybot - Search & Destroy\TeaTimer.exe File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Adobe ARM" "Adobe Systems Incorporated" "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" File exists
"Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" File exists
|||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|||| "NeroFilterCheck" "Ahead Software Gmbh" C:\WINDOWS\system32\NeroCheck.exe File exists
|||| "QuickTime Task" "Apple Computer, Inc." "C:\Programme\QuickTime\qttask.exe" -atboottime File exists
|||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" File exists
|||| "WinampAgent" "Nullsoft, Inc." C:\Programme\Winamp\winampa.exe File exists
Print Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
|||||| "doPDF 7 Monitor" "Softland" C:\WINDOWS\system32\dopdfmn7.dll File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists
"Anwendungsverwaltung" (AppMgmt) C:\WINDOWS\System32\appmgmts.dll File not found
|||||| "ASP.NET State Service" (aspnet_state) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir MailGuard" (AntiVirMailService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avmailc.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists
|||||| "Avira AntiVir WebGuard" (AntiVirWebService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE File exists
"Emsisoft Anti-Malware 5.0 - Service" (a2AntiMalware) "Emsi Software GmbH" C:\Programme\Emsisoft Anti-Malware\a2service.exe File exists
"HID Input Service" (HidServ) C:\WINDOWS\System32\hidserv.dll File not found
|||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jqs.exe File exists
|||| "Machine Debug Manager" (MDM) "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe File exists
"S+P Lizenzverwaltung" (SPLS) "Sander + Partner GmbH" C:\WINDOWS\SP Services\SPLS\SPLSServer.exe File exists
|||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists
|||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists
Winlogon
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" appmgmts.dll File not found
Winsock Providers
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
|||||| "AVSDA" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avsda.dll File exists

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fd

Kernel Drivers (total 118):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF79B0000 \WINDOWS\system32\KDCOM.DLL
0xF78C0000 \WINDOWS\system32\BOOTVID.dll
0xF7380000 ACPI.sys
0xF79B2000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF736F000 pci.sys
0xF74B0000 isapnp.sys
0xF7A78000 pciide.sys
0xF7730000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF79B4000 viaide.sys
0xF74C0000 MountMgr.sys
0xF7350000 ftdisk.sys
0xF7738000 PartMgr.sys
0xF74D0000 VolSnap.sys
0xF7338000 atapi.sys
0xF74E0000 disk.sys
0xF74F0000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7318000 fltmgr.sys
0xF7306000 sr.sys
0xF72EF000 KSecDD.sys
0xF7262000 Ntfs.sys
0xF7235000 NDIS.sys
0xF721B000 Mup.sys
0xF7500000 gagp30kx.sys
0xF7710000 \SystemRoot\system32\DRIVERS\processr.sys
0xF6D21000 \SystemRoot\system32\DRIVERS\vtmini.sys
0xF6D0D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7720000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7530000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7540000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6CEA000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7838000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6CC6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7840000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF68EF000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF68CB000 \SystemRoot\system32\drivers\portcls.sys
0xF7550000 \SystemRoot\system32\drivers\drmk.sys
0xF7848000 \SystemRoot\system32\DRIVERS\fetnd5.sys
0xF7850000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7560000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7974000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF68B7000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7570000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7858000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7AB6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7580000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7978000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF68A0000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7590000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75A0000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7860000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF688F000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75B0000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7868000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7870000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF75C0000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7878000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79D8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6831000 \SystemRoot\system32\DRIVERS\update.sys
0xF7988000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF75F0000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7600000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79DA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7880000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF5736000 \SystemRoot\system32\DRIVERS\Dot4.sys
0xF6D77000 \SystemRoot\system32\DRIVERS\Dot4Prt.sys
0xF79DC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B50000 \SystemRoot\System32\Drivers\Null.SYS
0xF79DE000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7890000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7898000 \SystemRoot\System32\drivers\vga.sys
0xF79E0000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79E2000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78A0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78A8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF6D67000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF56DB000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF5682000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF565A000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF6D5F000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xF5638000 \SystemRoot\System32\drivers\afd.sys
0xF7620000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF78B0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF560D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF559D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7630000 \SystemRoot\System32\Drivers\Fips.SYS
0xF5577000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7640000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7650000 \SystemRoot\System32\drivers\CBUSB.sys
0xF5555000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7768000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF79EA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF76A0000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7770000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF7964000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF76B0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF796C000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF553D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79FC000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6775000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7778000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BB8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\vtdisp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xECBA0000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xECBC9000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEC853000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEC6D6000 \SystemRoot\system32\drivers\wdmaud.sys
0xECB28000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7A32000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xEC35F000 \SystemRoot\system32\DRIVERS\srv.sys
0xEBE96000 \SystemRoot\System32\Drivers\HTTP.sys
0xEC446000 \??\C:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2accx86.sys
0xEBB84000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 41):
0 System Idle Process
4 System
536 C:\WINDOWS\system32\smss.exe
600 csrss.exe
624 C:\WINDOWS\system32\winlogon.exe
668 C:\WINDOWS\system32\services.exe
680 C:\WINDOWS\system32\lsass.exe
836 C:\Programme\Emsisoft Anti-Malware\a2service.exe
912 C:\WINDOWS\system32\svchost.exe
980 svchost.exe
1076 C:\WINDOWS\system32\svchost.exe
1136 svchost.exe
1284 svchost.exe
1528 C:\WINDOWS\explorer.exe
1620 C:\WINDOWS\system32\spoolsv.exe
1668 C:\Programme\Avira\AntiVir Desktop\sched.exe
1756 C:\WINDOWS\SOUNDMAN.EXE
1764 svchost.exe
1772 C:\WINDOWS\system32\VTTimer.exe
1780 C:\WINDOWS\system32\VTTrayp.exe
1796 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1808 C:\Programme\QuickTime\qttask.exe
1820 C:\Programme\Winamp\winampa.exe
1832 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1856 C:\Programme\Microsoft Money\System\REMINDER.EXE
1864 C:\Programme\Microsoft ActiveSync\wcescomm.exe
1880 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
1892 C:\WINDOWS\system32\ctfmon.exe
140 C:\Programme\Microsoft ActiveSync\rapimgr.exe
396 C:\Programme\Avira\AntiVir Desktop\avguard.exe
440 C:\Programme\Java\jre6\bin\jqs.exe
468 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
340 C:\WINDOWS\system32\spool\drivers\w32x86\3\OPHDLDCS.EXE
604 C:\WINDOWS\SP Services\SPLS\SPLSServer.exe
1044 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1064 C:\WINDOWS\system32\svchost.exe
2208 C:\Programme\Avira\AntiVir Desktop\avmailc.exe
2260 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
3016 alg.exe
3588 C:\Programme\Mozilla Firefox\firefox.exe
2456 C:\Dokumente und Einstellungen\admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\I: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD160HJ, Rev: BF100-12
PhysicalDrive1 Model Number: SAMSUNGHD161HJ, Rev: JF100-15

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
149 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

Gruß

Thorsten

cosinus · 08.10.2010, 11:38

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hooschi · 09.10.2010, 14:43

Hallo,

kaum zu glauben, aber es wurde schon wieder was gefunden.

Hier die Logs:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4779

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.10.2010 20:21:08
mbam-log-2010-10-08 (20-21-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 273277
Laufzeit: 1 Stunde(n), 51 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\users.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O54LWJAZ\nk[1].exe (Trojan.Agent) -> No action taken.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/09/2010 at 01:21 PM

Application Version : 4.44.1000

Core Rules Database Version : 5661
Trace Rules Database Version: 3473

Scan type : Complete Scan
Total Scan Time : 01:48:24

Memory items scanned : 514
Memory threats detected : 0
Registry items scanned : 8236
Registry threats detected : 0
File items scanned : 140097
File threats detected : 2

Trojan.Service
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\SERVICE.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP924\A0112981.EXE

Gruß

Thorsten

cosinus · 09.10.2010, 18:30

Da war doch noch was

Haste das gelöscht?

Wir müssen nochmal weiter ran:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

06.10.2010, 13:39	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan.Win32.Agent!A2 gefunden Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! __________________ Logfiles bitte immer in CODE-Tags posten

08.10.2010, 11:38	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan.Win32.Agent!A2 gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Trojan.Win32.Agent!A2 gefunden

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.Agent!A2 gefunden