Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Probleme mit Videos nach entfernen von trojanern durch MWB

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.11.2010, 15:47   #1
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Hallo zusammen

Für dieses spezielle problem habe ich nichts in der boardsuche und bei google
gefunden.

Also erstmal die OTL scans :OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 03.11.2010 16:17:00 - Run 1
OTL by OldTimer - Version 3.2.17.2 Folder = C:\Dokumente und Einstellungen\beamer_02\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 524,00 Mb Available Physical Memory | 51,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): c:\pagefile.sys 1536 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 8,03 Gb Free Space | 21,56% Space Free | Partition Type: NTFS
Drive F: | 2,00 Mb Total Space | 2,00 Mb Free Space | 99,90% Space Free | Partition Type: FAT
 
Computer Name: BEAMER_2 | User Name: beamer_02 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\beamer_02\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgnsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgrsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgcsrvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgchsvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\FIREFOX\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe (WIBU-SYSTEMS AG)
PRC - C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe (WIBU-SYSTEMS AG)
PRC - C:\Programme\ComCenter\IWatch.exe (AVM Berlin)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\beamer_02\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (avg9wd) -- C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
SRV - (CodeMeter.exe) -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe (WIBU-SYSTEMS AG)
SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\DE_SERV.EXE (AVM Berlin)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (AvgTdiX) -- C:\WINDOWS\System32\Drivers\avgtdix.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgLdx86) -- C:\WINDOWS\System32\Drivers\avgldx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgMfx86) -- C:\WINDOWS\System32\Drivers\avgmfx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (FXUSBASE) Eumex 400 (WinXP/2000) -- C:\WINDOWS\system32\drivers\fxusbase.sys (AVM Berlin)
DRV - (AVMCOWAN) -- C:\WINDOWS\system32\drivers\avmcowan.sys (AVM GmbH)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (AVMPORT) -- C:\WINDOWS\System32\drivers\avmport.sys (AVM Berlin)
DRV - (UltraMonMirror) -- C:\WINDOWS\system32\drivers\UltraMonMirror.sys (Realtime Soft)
DRV - (UltraMonUtility) -- C:\WINDOWS\system32\UltraMonUtility.sys (Realtime Soft)
DRV - (NETPPPOI) -- C:\WINDOWS\system32\drivers\NETPPPOI.SYS (AVM Berlin)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.knuut.de/tarife.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.knuut.de/tarife.htm"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3
FF - prefs.js..extensions.enabledItems: {c666c018-6409-4479-afa3-68e4129e7eff}:0.2.4
FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:9.0.0.863
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{3f963a5b-e555-4543-90e2-c3908898db71}: C:\Programme\AVG\AVG9\Firefox [2010.10.27 15:19:04 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Programme\FIREFOX\components [2010.01.31 10:27:12 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Programme\FIREFOX\plugins [2010.05.05 17:21:20 | 000,000,000 | ---D | M]
 
[2010.01.31 10:27:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\beamer_02\Anwendungsdaten\Mozilla\Extensions
[2010.10.28 17:45:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\beamer_02\Anwendungsdaten\Mozilla\Firefox\Profiles\z4qu7icz.default\extensions
[2010.09.29 15:35:05 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\beamer_02\Anwendungsdaten\Mozilla\Firefox\Profiles\z4qu7icz.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.01.31 11:11:11 | 000,000,000 | ---D | M] (Leo Search) -- C:\Dokumente und Einstellungen\beamer_02\Anwendungsdaten\Mozilla\Firefox\Profiles\z4qu7icz.default\extensions\{c666c018-6409-4479-afa3-68e4129e7eff}
[2010.01.31 10:48:05 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\beamer_02\Anwendungsdaten\Mozilla\Firefox\Profiles\z4qu7icz.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
 
O1 HOSTS File: ([2010.01.22 16:41:17 | 000,000,781 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [AVG9_TRAY] C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CodeMeter Control Center.lnk = C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe (WIBU-SYSTEMS AG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\beamer_02\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Local intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Local intranet)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264887781906 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\WINDOWS\) - C:\WINDOWS\ [2010.10.26 15:25:35 | 000,000,000 | ---D | M]
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - C:\WINDOWS\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.04.10 20:11:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.03 16:07:00 | 000,576,000 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\beamer_02\Desktop\OTL.exe
[2010.10.28 17:09:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\beamer_02\Eigene Dateien\Eigene Musik
[2010.10.26 14:15:16 | 081,880,624 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\beamer_02\Desktop\KASPERSKY DL SC 101026.exe
[2010.10.22 14:06:15 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\beamer_02\Recent
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.03 16:08:00 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\beamer_02\Desktop\OTL.exe
[2010.11.03 15:43:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.03 15:43:51 | 1072,222,208 | -HS- | M] () -- C:\hiberfil.sys
[2010.11.03 10:02:45 | 067,122,403 | ---- | M] () -- C:\WINDOWS\System32\drivers\Avg\incavi.avm
[2010.11.02 19:28:13 | 000,385,024 | -H-- | M] () -- C:\ffastun.ffo
[2010.11.02 19:28:13 | 000,005,295 | -H-- | M] () -- C:\ffastun.ffa
[2010.11.02 19:28:12 | 001,720,320 | -H-- | M] () -- C:\ffastun0.ffx
[2010.11.02 19:28:12 | 001,171,456 | -H-- | M] () -- C:\ffastun.ffl
[2010.11.02 15:22:39 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.27 16:48:08 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.10.26 15:44:42 | 000,000,615 | ---- | M] () -- C:\Dokumente und Einstellungen\beamer_02\Desktop\GMER DL SC 101026.lnk
[2010.10.26 13:07:15 | 081,880,624 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\beamer_02\Desktop\KASPERSKY DL SC 101026.exe
[2010.10.14 16:28:03 | 000,000,700 | ---- | M] () -- C:\Dokumente und Einstellungen\beamer_02\Desktop\ANW.lnk
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.10.28 16:51:04 | 039,102,584 | ---- | C] () -- C:\videoplayback.flv
[2010.10.28 16:50:38 | 038,056,682 | ---- | C] () -- C:\20100901_alleswissen_rote_gruetze_ard.mp4.mp4
[2010.10.28 16:50:07 | 046,363,797 | ---- | C] () -- C:\01 SHADOKS 01 - 05.mov
[2010.10.26 15:44:42 | 000,000,615 | ---- | C] () -- C:\Dokumente und Einstellungen\beamer_02\Desktop\GMER DL SC 101026.lnk
[2010.10.14 16:28:03 | 000,000,700 | ---- | C] () -- C:\Dokumente und Einstellungen\beamer_02\Desktop\ANW.lnk
[2010.09.22 15:49:39 | 000,000,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2009.02.25 16:04:20 | 000,000,022 | ---- | C] () -- C:\WINDOWS\exchng.ini
[2006.04.10 20:49:07 | 000,004,515 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.04.10 20:45:10 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\beamer_02\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.04.10 20:27:41 | 000,000,776 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.04.10 20:22:04 | 000,155,648 | R--- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004.08.04 13:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[1996.12.14 00:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 551942 bytes -> C:\WINDOWS\Temp:temp
 
< End of report >
         
--- --- ---
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 03.11.2010 16:17:00 - Run 1
OTL by OldTimer - Version 3.2.17.2 Folder = C:\Dokumente und Einstellungen\beamer_02\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 524,00 Mb Available Physical Memory | 51,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): c:\pagefile.sys 1536 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 8,03 Gb Free Space | 21,56% Space Free | Partition Type: NTFS
Drive F: | 2,00 Mb Total Space | 2,00 Mb Free Space | 99,90% Space Free | Partition Type: FAT
 
Computer Name: BEAMER_2 | User Name: beamer_02 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\FIREFOX\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"UpdatesDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableConfig" = 0
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG)
"C:\Programme\Vogel Verlag\Gemeinsame Komponenten\FahrenLernenSync\Vogel.USBSpider.exe" = C:\Programme\Vogel Verlag\Gemeinsame Komponenten\FahrenLernenSync\Vogel.USBSpider.exe:*:Enabled:FahrenLernenSync -- (Verlag Heinrich Vogel in der Springer Transport Media GmbH)
"C:\WINDOWS\system32\wmisfth.exe" = C:\WINDOWS\system32\wmisfth.exe:*:Enabled:UPnP Firewall -- File not found
"C:\WINDOWS\system32\wmisftq.exe" = C:\WINDOWS\system32\wmisftq.exe:*:Enabled:UPnP Firewall -- File not found
"C:\WINDOWS\system32\wmitcod.exe" = C:\WINDOWS\system32\wmitcod.exe:*:Enabled:DHCP Router -- File not found
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG)
"C:\Programme\Vogel Verlag\PC-Professional\Fernwartung.EXE" = C:\Programme\Vogel Verlag\PC-Professional\Fernwartung.EXE:*:Enabled:Fernwartung -- (Springer Transport Media GmbH)
"C:\Programme\Vogel Verlag\PC-Professional\FSM_WinVNC.exe" = C:\Programme\Vogel Verlag\PC-Professional\FSM_WinVNC.exe:*:Enabled:FSM_WinVNC -- (Springer Transport Media GmbH)
"C:\Programme\Vogel Verlag\PC-Professional\PC_Professional.exe" = C:\Programme\Vogel Verlag\PC-Professional\PC_Professional.exe:*:Enabled:PC_Professional -- (Verlag Heinrich Vogel)
"C:\WINDOWS\system32\wmisfth.exe" = C:\WINDOWS\system32\wmisfth.exe:*:Enabled:UPnP Firewall -- File not found
"C:\WINDOWS\system32\wmisftq.exe" = C:\WINDOWS\system32\wmisftq.exe:*:Enabled:UPnP Firewall -- File not found
"C:\WINDOWS\system32\wmitcod.exe" = C:\WINDOWS\system32\wmitcod.exe:*:Enabled:DHCP Router -- File not found
"D:\fsetup.exe" = D:\fsetup.exe:*:Enabled:AVM FSetup Application -- File not found
"C:\Programme\AVG\AVG9\avgupd.exe" = C:\Programme\AVG\AVG9\avgupd.exe:*:Enabled:avgupd.exe -- (AVG Technologies CZ, s.r.o.)
"C:\Programme\AVG\AVG9\avgnsx.exe" = C:\Programme\AVG\AVG9\avgnsx.exe:*:Enabled:avgnsx.exe -- (AVG Technologies CZ, s.r.o.)
"C:\Programme\WSFTP\WS_FTP95.exe" = C:\Programme\WSFTP\WS_FTP95.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{001E7FB6-BB6B-4ED0-BEDC-B5404ED96D4E}" = DocProc
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{10E1E87C-656C-4D08-86D6-5443D28583BE}" = TrayApp
"{1753255A-0AEB-4220-8C75-607B73F0C133}" = Copy
"{22466889-7642-488d-AA0E-F619704CF7AB}" = DeviceDiscovery
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 20
"{29FA38B4-0AE4-4D0D-8A51-6165BB990BB0}" = WebReg
"{2F28B3C9-2C89-4206-8B33-8ADC9577C49B}" = Scan
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{543E938C-BDC4-4933-A612-01293996845F}" = UnloadSupport
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{791E2D38-210B-4622-8C57-512520D9F4EF}_is1" = PC-Professional Klasse B 2009
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6B90148-02C5-4fd3-8D7A-EF2386835CB9}" = F4100_Help
"{A6C265BE-E2C1-483e-843D-6B4C1E912AE0}" = F4100
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{AEA07F97-9088-497c-8821-0F36BD5DC251}" = HPProductAssistant
"{AF7FC1CA-79DF-43c3-90A3-33EFEB9294CE}" = AIO_Scan
"{B4509BCE-7BAD-4a8c-B1AE-4D0CE7467C42}" = F4100_doccd
"{B4F35A00-24FD-4fb3-BF5E-413D5423434D}" = DJ_AIO_Software_min
"{BCD6CD1A-0DBE-412E-9F25-3B500D1E6BA1}" = SolutionCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CA50045C-5119-48e7-9BA7-6B317379857A}" = DJ_AIO_Software
"{CB2D95C7-189C-4596-B071-CE99C309573D}" = ATI Catalyst Control Center
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF2D9590-457B-4842-912D-8D16A69ECC43}" = PowerTeacher GL
"{D0E39A1D-0CEE-4D85-B4A2-E3BE990D075E}" = Destination Component
"{E2662C24-B31E-4349-A084-32EB76E8B760}" = BufferChm
"{E548726E-F4E8-459f-BAB8-45551BC071E9}" = DJ_AIO_ProductContext
"{E9C18EBD-85BE-47D0-AA73-3FEDCC976B04}" = Toolbox
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{F850707C-B6A0-4B56-8709-F89CF8F9AC6D}" = Eraser
"{FA8A44D7-3E8A-4034-9C4F-088FA6B72BC4}" = HP Deskjet All-In-One Software 9.0
"{FD8D8B04-BEAD-4A55-AA1D-62D2373E7DEA}" = Status
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems PCI Soft Modem
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"AVG9Uninstall" = AVG Free 9.0
"AVM ISDN CAPI Port" = ISDN CAPI Port
"CCleaner" = CCleaner
"ComCenter 1.0" = ComCenter
"Creatix V.92 Data Fax Modem" = Creatix V.92 Data Fax Modem
"ElsterFormular 11.5.0.4546" = ElsterFormular
"Eraser" = Eraser
"HP Imaging Device Functions" = HP Imaging Device Functions 9.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 9.0
"HPOCR" = HP OCR Software 9.0
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"Office8.0" = Microsoft Office 97, Professional Edition
"RealPlayer 6.0" = RealPlayer
"sv.net" = sv.net
"T-Com Konfigurator Eumex 400" = T-Com Konfigurator Eumex 400
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 01.04.2010 11:04:37 | Computer Name = BEAMER_2 | Source = VBRuntime | ID = 1
Description = The VB Application identified by the event source logged this Application
svnet: Thread ID: 3008 ,Logged: Fehler 91 in svnet 10.0.0.57 (Zeile 0): PKSVMain.SysGet
-> Object variable or With block variable not set
 
Error - 13.04.2010 11:20:28 | Computer Name = BEAMER_2 | Source = ESENT | ID = 490
Description = svchost (1060) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 13.04.2010 11:20:31 | Computer Name = BEAMER_2 | Source = ESENT | ID = 490
Description = svchost (1060) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 13.04.2010 11:20:42 | Computer Name = BEAMER_2 | Source = ESENT | ID = 490
Description = svchost (1060) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 14.04.2010 13:06:36 | Computer Name = BEAMER_2 | Source = EventSystem | ID = 4614
Description = Das COM+-Ereignissystem hat eine Inkonsistenz in seinem internen Status
erkannt. Fehler bei der Assertion "GetLastError() == 122L" in Zeile 162 von d:\comxp_sp2\com\com1x\src\events\shared\sectools.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
 
Error - 20.04.2010 10:00:59 | Computer Name = BEAMER_2 | Source = EventSystem | ID = 4614
Description = Das COM+-Ereignissystem hat eine Inkonsistenz in seinem internen Status
erkannt. Fehler bei der Assertion "GetLastError() == 122L" in Zeile 162 von d:\comxp_sp2\com\com1x\src\events\shared\sectools.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
 
Error - 22.09.2010 11:04:15 | Computer Name = BEAMER_2 | Source = MsiInstaller | ID = 11904
Description = Produkt: SolutionCenter -- Error 1904. Fehler beim Registrieren von
Modul C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx. HRESULT -2147220473. Wenden
Sie sich an den Support.
 
Error - 26.10.2010 10:45:53 | Computer Name = BEAMER_2 | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf c:\system volume information\catalog.wci ist 
beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut.
 
Error - 26.10.2010 10:45:53 | Computer Name = BEAMER_2 | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.
 
Error - 26.10.2010 11:17:12 | Computer Name = BEAMER_2 | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.
 
[ System Events ]
Error - 02.11.2010 10:52:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
 
Error - 02.11.2010 10:52:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 02.11.2010 11:07:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
 
Error - 02.11.2010 11:07:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 29 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 02.11.2010 11:37:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 60
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
 
Error - 02.11.2010 11:37:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 59 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 02.11.2010 12:37:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 120
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
 
Error - 02.11.2010 12:37:13 | Computer Name = BEAMER_2 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 119 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 03.11.2010 06:49:30 | Computer Name = BEAMER_2 | Source = Service Control Manager | ID = 7034
Description = Dienst "CodeMeter Runtime Server" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
 
Error - 03.11.2010 07:35:16 | Computer Name = BEAMER_2 | Source = Print | ID = 54
Description = Dokument Freihändig Fahrrad gefahren... war beschädigt und wurde gelöscht.
Der zugewiesene Treiber ist: HP Deskjet F4100 series.
 
 
< End of report >
         
--- --- ---

Jetzt das problem :
Nach einem MWB scan gab es folgende ergebnisse :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4902

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

21.10.2010 18:50:50
mbam-log-2010-10-21 (18-50-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 169375
Laufzeit: 1 Stunde(n), 20 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Trojan.Riern) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Trojan.Riern) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Trojan.Riern) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Trojan.Riern) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Trojan.Riern) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Trojan.Riern) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Trojan.Riern) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Trojan.Riern) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die 8 reg änderungen habe ich entfernt.
Jetzt laufen ALLE videoformate nur noch ruckelig und mit kratzendem ton
- als ob z.b. codecs fehlen oder nicht mehr richtig funktionieren -.
Ich habe festgestellt das MWB auch mehrer dutzend dateien gelöscht hat.
Sind jetzt im papierkorb.
Da ich die videofunktion des rechners dringend brauche und es vor dem scan
keine fehlfunktionen gab würde ich am liebesten die änderungen und/oder löschungen rückgängig machen, finde aber keine möglichkeit bei MWB.
Der vorhanden SWP ( ich bin SICHER dass ich den einige tage vor dem scan gesetzt hatte ) ist leider weg.

Also kennt jemand eine möglichkeit die MWB änderungen/löschungen rückgängig zu machen oder hat jemand eine idee wie das problem zu beseitigen ist ?

Vielen Dank

Andy

Alt 04.11.2010, 19:33   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Zitat:
Also kennt jemand eine möglichkeit die MWB änderungen/löschungen rückgängig zu machen oder hat jemand eine idee wie das problem zu beseitigen ist ?
Ist Dir der Reiter Quarantäne nicht in Malwarebytes aufgefallen? Da hast Du die Möglichkeit, isolierte Objekte wiederherzustellen.
__________________

__________________

Alt 07.11.2010, 13:28   #3
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



@ cosinus

Danke für deine antwort.
Habe die gelöschten dateien aus dem papierkorb wiederherstellt.
Dabei stellte sich heraus dass die dateien noch vom letzten malwarebefall vor einem jahr in der quarantänestation waren.
Die wurden natürlich wieder gelöscht und entgültig entfernt.
Die registryänderungen des aktuellen mwb logs habe ich über den quarantänebutton rückgängig gemacht.
Das Problem ( ruckelnde videos und kratziger ton ) besteht allerdings weiterhin, zusammentreffen mit der registryänderung also wahrscheinlich zufällig.
Könnte es sich bei dem angezeigten malwareproblem um FP handeln ?.
gruss
andy
__________________

Alt 07.11.2010, 21:59   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Zitat:
Könnte es sich bei dem angezeigten malwareproblem um FP handeln ?.
Kann sein. Aktualisier Malwarebytes und mach nochmal einen Vollscan.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.11.2010, 12:22   #5
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Hallo Arne

Hab ich schon gemacht, das ergebnis ist das gleiche wie beim ersten scan.
Malwaresymptome gibts nicht, also wieder in die quarantäne und abwarten ?
gruss

andy


Alt 08.11.2010, 23:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Mach mal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Probleme mit Videos nach entfernen von trojanern durch MWB

Alt 09.11.2010, 13:02   #7
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Hallo Arne

1.) CC reinigung durchgeführt
2.) COFI scan wie folgt :

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-07.A2 - beamer_02 09.11.2010  13:18:14.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.729 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\beamer_02\Desktop\COFI.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AutoRun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-10-09 bis 2010-11-09  ))))))))))))))))))))))))))))))
.

2010-11-09 11:40 . 2010-11-09 11:40	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-11-09 09:58 . 2010-11-09 09:58	--------	d-----w-	c:\dokumente und einstellungen\beamer_02\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-11-08 21:33 . 2010-11-09 12:00	--------	d-----w-	C:\REGBACKAUP
2010-11-08 20:46 . 2010-11-08 20:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\xing shared
2010-11-08 19:00 . 2010-03-15 09:31	165376	----a-w-	c:\windows\system32\unrar.dll
2010-11-08 19:00 . 2010-01-17 15:18	151552	----a-w-	c:\windows\system32\ac3acm.acm
2010-11-08 19:00 . 2008-09-24 18:41	839680	----a-w-	c:\windows\system32\lameACM.acm
2010-11-08 19:00 . 2004-01-25 16:18	217088	----a-w-	c:\windows\system32\yv12vfw.dll
2010-11-08 19:00 . 2010-06-08 16:10	790528	----a-w-	c:\windows\system32\xvidcore.dll
2010-11-08 19:00 . 2010-06-08 16:10	134144	----a-w-	c:\windows\system32\xvidvfw.dll
2010-11-08 19:00 . 2010-10-18 08:00	108032	----a-w-	c:\windows\system32\ff_vfw.dll
2010-11-08 19:00 . 2010-11-08 19:00	--------	d-----w-	c:\programme\K-Lite Codec Pack
2010-11-08 18:56 . 2010-11-08 18:57	--------	d-----w-	c:\programme\KLITE FULL
2010-11-08 18:01 . 2010-11-08 20:24	--------	d-----w-	c:\dokumente und einstellungen\beamer_02\Anwendungsdaten\vlc
2010-11-08 13:29 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2010-11-08 13:29 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2010-11-08 13:28 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2010-11-08 13:15 . 2010-11-08 18:01	--------	d-----w-	c:\programme\VLC
2010-11-08 13:04 . 2010-07-16 12:01	220160	-c----w-	c:\windows\system32\dllcache\wordpad.exe
2010-11-08 13:04 . 2010-08-16 08:44	590848	-c----w-	c:\windows\system32\dllcache\rpcrt4.dll
2010-11-07 20:36 . 2010-08-27 08:01	119808	-c----w-	c:\windows\system32\dllcache\t2embed.dll
2010-11-07 20:36 . 2009-10-15 16:28	81920	-c----w-	c:\windows\system32\dllcache\fontsub.dll
2010-11-07 20:35 . 2008-10-15 16:35	337408	-c----w-	c:\windows\system32\dllcache\netapi32.dll
2010-11-07 20:02 . 2004-08-04 12:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-11-07 18:32 . 2010-11-07 18:32	--------	d-----w-	c:\windows\l2schemas
2010-11-07 18:32 . 2010-11-07 18:32	--------	d-----w-	c:\windows\system32\de
2010-11-07 18:32 . 2010-11-07 18:32	--------	d-----w-	c:\windows\system32\bits
2010-11-07 17:42 . 2010-11-07 17:42	--------	d-----w-	c:\windows\EHome
2010-11-07 16:20 . 2010-11-07 16:20	--------	d-----w-	c:\dokumente und einstellungen\beamer_02\Lokale Einstellungen\Anwendungsdaten\FRITZ!
2010-11-07 16:04 . 2010-09-10 05:47	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-11-07 15:47 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-11-07 15:44 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-11-07 15:03 . 2010-11-07 15:03	--------	d-----w-	c:\programme\MSXML 4.0
2010-11-07 14:18 . 2010-11-09 11:47	--------	d-----w-	c:\dokumente und einstellungen\beamer_02\Anwendungsdaten\FRITZ!
2010-11-07 14:12 . 2005-02-22 00:01	15104	----a-r-	c:\windows\system32\drivers\avmunet.sys
2010-11-07 14:07 . 2005-11-21 09:41	11264	----a-w-	c:\windows\system32\drivers\NETDSL.SYS
2010-11-07 14:07 . 2005-11-21 09:34	28160	----a-w-	c:\windows\system32\drivers\Aadev.sys
2010-11-07 14:07 . 2005-11-21 09:41	367104	----a-w-	c:\windows\system32\drivers\Netfwdsl.sys
2010-11-07 14:07 . 2010-11-07 14:07	--------	d-----w-	c:\programme\FRITZ!DSL
2010-11-07 14:06 . 2010-11-07 14:06	--------	d-----w-	c:\programme\FRITZ!Box

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-08 20:45 . 2010-02-02 17:10	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-09-18 11:22 . 2004-08-04 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-04 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-04 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-04 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2004-08-04 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-08-04 12:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-08-04 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-08-04 12:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2010-08-13 17:44	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-04 12:00	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-08-04 12:00	617472	----a-w-	c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2004-08-04 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2004-08-04 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
.
Code:
ATTFilter
<pre>
c:\programme\WSFTP\ws_ftple .exe
</pre>
         
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363] "SoundMan"="SOUNDMAN.EXE" [2004-10-13 67584] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"="c:\dokumente und einstellungen\NetworkService\ijtasci.exe \u" [X] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\beamer_02\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2010-11-7 917504] FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2010-11-7 679936] Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-14 111376] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ CodeMeter Control Center.lnk - c:\programme\CodeMeter\Runtime\bin\CodeMeterCC.exe [2007-3-9 4993024] ISDNWatch.lnk - c:\programme\ComCenter\IWatch.exe [2010-2-2 229376] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^beamer_02^Startmenü^Programme^Autostart^Office-Start.lnk] path=c:\dokumente und einstellungen\beamer_02\Startmenü\Programme\Autostart\Office-Start.lnk backup=c:\windows\pss\Office-Start.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG9_TRAY] c:\progra~1\AVG\AVG9\avgtray.exe [N/A] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser] 2007-12-22 23:03 916240 ----a-w- c:\programme\HEIDIERASER\Eraser.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2007-03-11 19:34 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kbdimg] 2010-02-04 16:33 23112 ----a-w- c:\dokumente und einstellungen\beamer_02\Anwendungsdaten\Adobe\Update\getfor.dat [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpiderService] 2009-03-25 19:33 3102136 ----a-w- c:\programme\Vogel Verlag\Gemeinsame Komponenten\FahrenLernenSync\Vogel.USBSpider.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2010-11-08 20:45 274608 ----a-w- c:\programme\Real\RealPlayer\Update\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WZCSVC"=2 (0x2) "Schedule"=2 (0x2) "clr_optimization_v2.0.50727_32"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\CodeMeter\\Runtime\\bin\\CodeMeter.exe"= "c:\\Programme\\WSFTP\\WS_FTP95.exe"= "c:\\Programme\\Vogel Verlag\\Gemeinsame Komponenten\\FahrenLernenSync\\Vogel.USBSpider.exe"= "c:\\Programme\\Vogel Verlag\\PC-Professional\\Fernwartung.exe"= "c:\\Programme\\Vogel Verlag\\PC-Professional\\FSM_WinVNC.exe"= "c:\\Programme\\Vogel Verlag\\PC-Professional\\PC_Professional.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [02.02.2010 18:04 59520] R2 CodeMeter.exe;CodeMeter Runtime Server;c:\programme\CodeMeter\Runtime\bin\CodeMeter.exe [09.03.2007 03:20 2012744] R2 UltraMonUtility;UltraMon Utility Driver;c:\windows\system32\UltraMonUtility.sys [12.04.2004 17:37 10288] R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [29.11.2004 53248] R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [07.11.2010 15:12 15104] R3 NETPPPOI;PPP over ISDN;c:\windows\system32\drivers\NETPPPOI.SYS [02.02.2010 18:10 319488] R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [12.04.2004 17:38 8240] S0 sidaqawx;sidaqawx; [x] S3 FXUSBASE;Eumex 400 (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [29.11.2004 547968] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners 2010-11-08 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-842925246-823518204-839522115-1004.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-10-20 17:32] 2010-11-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-842925246-823518204-839522115-1004.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2010-10-20 17:32] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.knuut.de/tarife.htm LSP: c:\programme\FRITZ!DSL\sarah.dll TCP: {00D5A410-A145-41AF-AA87-D2B11A2FA52C} = 192.168.121.252,192.168.121.253 FF - ProfilePath - c:\dokumente und einstellungen\beamer_02\Anwendungsdaten\Mozilla\Firefox\Profiles\z4qu7icz.default\ FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu FF - prefs.js: browser.startup.homepage - hxxp://www.knuut.de/tarife.htm FF - component: c:\dokumente und einstellungen\beamer_02\Anwendungsdaten\Mozilla\Firefox\Profiles\z4qu7icz.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll FF - plugin: c:\programme\ADOBE\Reader\browser\nppdf32.dll FF - plugin: c:\programme\FIREFOX\plugins\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-ennijjwh.sys ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-09 13:35 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-842925246-823518204-839522115-1004\Software\SecuROM\License information*] "datasecu"=hex:29,f4,a8,bf,af,aa,82,99,62,2e,2e,e1,90,cb,b7,d8,61,ef,77,37,8c, 8c,a4,8f,36,00,c7,e9,4d,0c,67,43,f6,3d,1e,73,d8,cb,00,b7,8f,8e,a8,9f,1d,e7,\ "rkeysecu"=hex:d3,b8,10,25,fd,e2,dc,20,2d,2d,a7,fa,27,df,ec,57 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(808) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(872) c:\programme\FRITZ!DSL\sarah.dll c:\programme\FRITZ!DSL\block.dll c:\programme\FRITZ!DSL\avmcsock.dll c:\programme\FRITZ!DSL\avmufc.dll - - - - - - - > 'explorer.exe'(2548) c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\FRITZ!DSL\IGDCTRL.EXE c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\AGRSMMSG.exe c:\windows\SOUNDMAN.EXE c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-11-09 13:46:21 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-11-09 12:46 Vor Suchlauf: 3.606.089.728 Bytes frei Nach Suchlauf: 3.522.936.832 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - F795DA36AEB3EA44FEC624727786A3DD
--- --- ---

gruss

andy

Alt 10.11.2010, 07:24   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.11.2010, 16:49   #9
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Hallo Arne

1.) GMER im normalmodus 2 x gelaufen 2 x abgestürzt
GMER im geschützten modus 1 x gelaufen 1 x abgestürzt
= geht nicht

2.) OSAM log :

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:23:22 on 10.11.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"RealUpgradeLogonTaskS-1-5-21-842925246-823518204-839522115-1004.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-842925246-823518204-839522115-1004.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FINDFAST.CPL" - "Microsoft Corporation" - C:\WINDOWS\system32\FINDFAST.CPL
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"MLCFG32.CPL" - "Microsoft Corporation" - C:\WINDOWS\system32\MLCFG32.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AVMPORT" (AVMPORT) - "AVM Berlin" - C:\WINDOWS\System32\drivers\avmport.sys
"catchme" (catchme) - ? - C:\COFI\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PPP over ISDN" (NETPPPOI) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\NETPPPOI.SYS
"sidaqawx" (sidaqawx) - ? - C:\WINDOWS\system32\drivers\sidaqawx.sys  (File not found)
"UltraMon Utility Driver" (UltraMonUtility) - "Realtime Soft" - C:\WINDOWS\system32\UltraMonUtility.sys
"UltraMonMirror" (UltraMonMirror) - "Realtime Soft" - C:\WINDOWS\System32\DRIVERS\UltraMonMirror.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{00020000-0000-1011-8004-0000C06B5161} "WIBU-SYSTEMS Shell Extension" - "WIBU-SYSTEMS AG" - C:\Programme\WIBU-SYSTEMS\System\WibuShellExt.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{8BE13461-936F-11D1-A87D-444553540000} "Eraser Shell Extension" - "-" - C:\WINDOWS\system32\erasext.dll
{88895560-9AA2-1069-930E-00AA0030EBC8} "Erweiterung für HyperTerminal-Icons" - ? -   (File not found | COM-object registry key not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{BB7DF450-F119-11CD-8465-00AA00425D90} "Microsoft Access Custom Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\soa800.dll
{59850401-6664-101B-B21C-00AA004BA90B} "Microsoft Office Sammelmappen-Teiler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\UNBIND.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\programme\real\realplayer\rpshell.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{00020000-0000-1011-8004-0000C06B5161} "WIBU-SYSTEMS Shell Extension" - "WIBU-SYSTEMS AG" - C:\Programme\WIBU-SYSTEMS\System\WibuShellExt.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"CodeMeter Control Center.lnk" - "WIBU-SYSTEMS AG" - C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"ISDNWatch.lnk" - "AVM Berlin" - C:\Programme\ComCenter\IWatch.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\beamer_02\Startmenü\Programme\Autostart\desktop.ini
"FRITZ!DSL Protect.lnk" - "AVM Berlin" - C:\Programme\FRITZ!DSL\FwebProt.exe  (Shortcut exists | File exists)
"FRITZ!DSL Startcenter.lnk" - "AVM Berlin" - C:\Programme\FRITZ!DSL\StCenter.exe  (Shortcut exists | File exists)
"Microsoft-Indexerstellung.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\FINDFAST.EXE  (Shortcut exists | File exists)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"ComCenter Fax Color Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\ComCColorPort.dll
"ComCenter Fax Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\ComCPort.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
"AVM IGD CTRL Service" (AVM IGD CTRL Service) - "AVM Berlin" - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
"CodeMeter Runtime Server" (CodeMeter.exe) - "WIBU-SYSTEMS AG" - C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"Sarah NSP" - "AVM Berlin" - C:\Programme\FRITZ!DSL\sarah.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"SARAH LSP" - "AVM Berlin" - C:\Programme\FRITZ!DSL\sarah.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

3.) MBRCHECK log :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000002c

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7B23000 \WINDOWS\system32\KDCOM.DLL
0xF7A33000 \WINDOWS\system32\BOOTVID.dll
0xF75D3000 ACPI.sys
0xF7B25000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF75C2000 pci.sys
0xF7623000 isapnp.sys
0xF7BEB000 pciide.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7633000 MountMgr.sys
0xF75A3000 ftdisk.sys
0xF78AB000 PartMgr.sys
0xF7643000 VolSnap.sys
0xF758B000 atapi.sys
0xF7653000 disk.sys
0xF7663000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF756B000 fltmgr.sys
0xF7559000 sr.sys
0xF7542000 KSecDD.sys
0xF74B5000 Ntfs.sys
0xF7488000 NDIS.sys
0xF746E000 Mup.sys
0xF7693000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF72D0000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF7294000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF795B000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF7270000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF798B000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF76A3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF76B3000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF76C3000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF724D000 \SystemRoot\system32\DRIVERS\ks.sys
0xF79E3000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF7117000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xF79CB000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7080000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF705C000 \SystemRoot\system32\drivers\portcls.sys
0xF76D3000 \SystemRoot\system32\drivers\drmk.sys
0xF6FFA000 \SystemRoot\system32\drivers\ALCXSENS.SYS
0xF78E3000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF76E3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7B0B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6FE6000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76F3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7923000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7933000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7703000 \SystemRoot\system32\DRIVERS\AVMCOWAN.sys
0xF7B33000 \SystemRoot\System32\Drivers\RootMdm.sys
0xF6F98000 \SystemRoot\system32\DRIVERS\NETPPPOI.SYS
0xF7CB6000 \SystemRoot\system32\DRIVERS\UltraMonMirror.sys
0xF7CB9000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7713000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7B1B000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6F81000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7723000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7733000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF79FB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6F70000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7743000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7A23000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78C3000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7753000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B39000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6F12000 \SystemRoot\system32\DRIVERS\update.sys
0xF72BC000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7773000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF77A3000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B3F000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7ACB000 \SystemRoot\system32\drivers\MODEMCSA.sys
0xF7B43000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7CEC000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B47000 \SystemRoot\System32\Drivers\Beep.SYS
0xF799B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79AB000 \SystemRoot\System32\drivers\vga.sys
0xF7B4B000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B4F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF79BB000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF79D3000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7AEF000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEEDCF000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEED76000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEED4E000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEED28000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF77C3000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7B17000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xF7973000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xEED06000 \SystemRoot\System32\drivers\afd.sys
0xF79C3000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF77D3000 \SystemRoot\system32\DRIVERS\netbios.sys
0xEECDB000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEEC6B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF77E3000 \SystemRoot\System32\Drivers\Fips.SYS
0xEEBE5000 \SystemRoot\system32\DRIVERS\fxusbase.sys
0xF7AC7000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xF79A3000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF79EB000 \SystemRoot\system32\DRIVERS\HPZius12.sys
0xF7803000 \SystemRoot\system32\DRIVERS\HPZid412.sys
0xF7AE3000 \SystemRoot\system32\DRIVERS\HPZipr12.sys
0xF7813000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEEB99000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xEEB81000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B63000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7AF7000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7963000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7C9F000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF054000 \SystemRoot\System32\ati2cqag.dll
0xBF093000 \SystemRoot\System32\atikvmag.dll
0xBF0C9000 \SystemRoot\System32\ati3duag.dll
0xBF34D000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xEE784000 \SystemRoot\system32\drivers\wdmaud.sys
0xEEB31000 \SystemRoot\system32\drivers\sysaudio.sys
0xEE641000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEE8B1000 \SystemRoot\System32\drivers\avmport.sys
0xF7B7D000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF7BDB000 \??\C:\WINDOWS\system32\UltraMonUtility.sys
0xEE189000 \SystemRoot\system32\DRIVERS\srv.sys
0xEDEC8000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
552 C:\WINDOWS\system32\smss.exe
612 csrss.exe
640 C:\WINDOWS\system32\winlogon.exe
692 C:\WINDOWS\system32\services.exe
704 C:\WINDOWS\system32\lsass.exe
848 C:\WINDOWS\system32\ati2evxx.exe
880 C:\WINDOWS\system32\svchost.exe
968 svchost.exe
1056 C:\WINDOWS\system32\svchost.exe
1100 svchost.exe
1200 svchost.exe
1248 C:\WINDOWS\system32\spoolsv.exe
1492 C:\WINDOWS\system32\ati2evxx.exe
1656 C:\WINDOWS\explorer.exe
1880 svchost.exe
1968 C:\Programme\FRITZ!DSL\IGDCTRL.EXE
1996 C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
2028 C:\WINDOWS\AGRSMMSG.exe
160 C:\WINDOWS\system32\svchost.exe
284 C:\Programme\JAVA\jre6\bin\jqs.exe
396 C:\WINDOWS\system32\svchost.exe
412 C:\WINDOWS\system32\svchost.exe
444 C:\WINDOWS\system32\svchost.exe
464 C:\WINDOWS\SOUNDMAN.EXE
1016 C:\WINDOWS\system32\ctfmon.exe
1048 C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe
1080 C:\Programme\ComCenter\IWatch.exe
1132 C:\Programme\FRITZ!DSL\FwebProt.exe
1140 C:\Programme\FRITZ!DSL\StCenter.exe
1168 C:\Programme\Microsoft Office\Office\FINDFAST.EXE
2180 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2224 C:\WINDOWS\system32\wscntfy.exe
2348 alg.exe
3668 C:\Programme\Outlook Express\msimn.exe
1560 C:\Dokumente und Einstellungen\beamer_02\Desktop\MBRCHECK.EXE

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00000200 (FAT)

PhysicalDrive0 Model Number: ST340015A, Rev: 3.01
PhysicalDrive1 Model Number: <error opening>

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
ERROR Opening: \\.\PhysicalDrive1 (32)


Done!

Hoffe es hilft und bedanke mich schonmal für deine geduld !

gruss
andy

Alt 10.11.2010, 18:07   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Sieht ok aus, aber was ist denn Laufwerk F mit mit mickrigen 2 MB?

Zitat:
Drive F: | 2,00 Mb Total Space | 2,00 Mb Free Space | 99,90% Space Free | Partition Type: FAT
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.11.2010, 20:55   #11
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Hallo Arne

LW F: ist ein USB stick den ich als key für eine bestimmte anwendung brauche. 2 MB ist korrekt und das ding ist auch schon jahre drin und hat bis jetzt nie ärger gemacht.

Heisst "sieht okay aus" dass es ein FP war ?
Falls ja solte ich das MWB mitteilen oder ?

Gruss

Andy

Alt 10.11.2010, 21:59   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.11.2010, 17:02   #13
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Hallo Arne

Ich schaff das heute nicht mehr und bin dann bis einschl. montag weg.
Ich mach die scans am dienstag und versuch mich per PM zu melden sobald ich
die scans gepostet habe.

Schönes wochenende

andy

Alt 17.11.2010, 17:54   #14
handyandy
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Hallo Arne

1.) MWB scan :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5127

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.11.2010 18:33:49
mbam-log-2010-11-16 (18-33-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 172222
Laufzeit: 2 Stunde(n), 20 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2.) SAS scan :

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 11/17/2010 bei 06:01 PM

Version der Applikation : 4.45.1000

Version der Kern-Datenbank : 5874
Version der Spur-Datenbank : 3686

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:26:54

Gescannte Speicherelemente : 464
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 5912
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 18828
Erfasste Datei-Elemente : 0

Scheint nix zu sein. Prima !
Falls noch etwas sein sollte kannst du mich auch per PM erreichen,
und ich werde in ein paar tagen nochmals diesen thread anschauen

Ich möchte mich nochmals für deine geduld bedanken.
Alles gute
Andy

Alt 17.11.2010, 18:35   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit Videos nach entfernen von trojanern durch MWB - Standard

Probleme mit Videos nach entfernen von trojanern durch MWB



Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Probleme mit Videos nach entfernen von trojanern durch MWB
0x00000001, 32 bit, adblock, alternate, avg free, bho, components, dateien gelöscht, dringend, entfernen, error, fehler, firefox, firefox.exe, flash player, format, home, intranet, kaspersky, konfigurator, location, logfile, malwarebyte, mozilla, msiinstaller, object, oldtimer, otl logfile, otl.exe, problem, prozess, realtek, registry, rundll, rückgängig, saver, security, server, shell32.dll, software, starten, svchost, system restore, tcp, trojaner, video, windows internet



Ähnliche Themen: Probleme mit Videos nach entfernen von trojanern durch MWB


  1. Nach Systemwiederherstellung durch Systemwiederherstellungspunkt Word, Windows Start und Datei Probleme
    Alles rund um Windows - 08.09.2015 (17)
  2. Windows 8.1 Browser langsam und Videos ruckeln nach "optimierung" durch einen Freund
    Log-Analyse und Auswertung - 17.03.2015 (9)
  3. Videos stoppen nach ein paar Sekunden und alles läuft langsam nach einem Virenscann von Avast.
    Log-Analyse und Auswertung - 03.08.2014 (7)
  4. Windows XP Neuinstallation und Videos- Probleme
    Alles rund um Windows - 28.09.2013 (9)
  5. Trojaner? bei Fb durch Anklicken eines Videos eingefangen und nun?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2013 (4)
  6. Nach Trojaner Probleme mit Internet Videos
    Log-Analyse und Auswertung - 16.03.2012 (53)
  7. Metropolitan Police Trojaner mit Win 7 / Probleme nach Entfernen durch Spyware Terminator
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (0)
  8. Probleme beim entfernen von Trojanern
    Log-Analyse und Auswertung - 21.12.2009 (1)
  9. Probleme mit Trojanern
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (8)
  10. Probleme mit Trojanern
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (0)
  11. Probleme mit Trojanern etc.
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (1)
  12. Probleme mit Trojanern
    Log-Analyse und Auswertung - 01.07.2008 (11)
  13. Probleme mit Trojanern oder ???
    Mülltonne - 23.05.2006 (2)
  14. Probleme mit Trojanern
    Log-Analyse und Auswertung - 10.08.2005 (2)
  15. Probleme mit Trojanern und IE
    Plagegeister aller Art und deren Bekämpfung - 29.11.2004 (3)
  16. Probleme mit 2 Trojanern und den Favoriten
    Plagegeister aller Art und deren Bekämpfung - 20.02.2004 (1)
  17. probleme mit gebrannten videos
    Netzwerk und Hardware - 30.09.2003 (6)

Zum Thema Probleme mit Videos nach entfernen von trojanern durch MWB - Hallo zusammen Für dieses spezielle problem habe ich nichts in der boardsuche und bei google gefunden. Also erstmal die OTL scans :OTL Logfile: Code: Alles auswählen Aufklappen ATTFilter OTL logfile - Probleme mit Videos nach entfernen von trojanern durch MWB...
Archiv
Du betrachtest: Probleme mit Videos nach entfernen von trojanern durch MWB auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.