http://www1.mpnrs.com/tracker/...........

23elazig23 · 05.01.2011, 14:45

Hier der Osam-Log :

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
http://www.online-solutions.ru/en/
Saved at 14:44:56 on 05.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"Automatische Wartung.job" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\OneClickStarter.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ac3filter.cpl" - ? - C:\WINDOWS\system32\ac3filter.cpl
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Pando" - "Pando Networks" - C:\Programme\Pando Networks\Media Booster\PMB.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Ayhan\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"EagleNT" (EagleNT) - ? - C:\WINDOWS\system32\drivers\EagleNT.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\WINDOWS\system32\drivers\Lavasoft Kernexplorer.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"NVIDIA PORT IO Control Driver" (nvport) - ? - C:\WINDOWS\system32\Drivers\nvport.sys  (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"Windows CE USB Serial Host Driver" (wceusbsh) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wceusbsh.sys
"zlportio" (zlportio) - ? - C:\WINDOWS\system32\drivers\zlportio.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" - ? - C:\Programme\Essentials Codec Pack\Haali\mmfinfo.dll  (File found, but it contains no detailed information)
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{ABC70703-32AF-11d4-90C4-D483A70F4825} "CMenuExtender" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\System32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\System32\nvshell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" - ? - C:\Programme\Essentials Codec Pack\Haali\mmfinfo.dll  (File found, but it contains no detailed information)
{5574006C-28F5-4a65-A28C-74DE6BFBE0BB} "Haali Matroska Shell Property Page" - ? - C:\Programme\Essentials Codec Pack\Haali\mmfinfo.dll  (File found, but it contains no detailed information)
{327669A0-59A7-4be9-B99E-1C9F3A57611A} "Haali Matroska Thumbnail Extractor" - ? - C:\Programme\Essentials Codec Pack\Haali\mmfinfo.dll  (File found, but it contains no detailed information)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Wcesview.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\System32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{555D4D79-4BD2-4094-A395-CFC534424A05} "HP Smart Web Printing" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_bho.dll
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll / http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
{5D6F45B3-9043-443D-A792-115447494D24} "UnoCtrl Class" - "Microsoft" - C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll / http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\INetRepl.dll
{DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Smart Web Printing ein- oder ausblenden" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{593DDEC6-7468-4cdd-90E1-42DADAA222E9} "DivX HiQ" - "DivX, LLC" - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
{326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
{0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Ayhan\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"CCWinTray" - "Salfeld Computer" - C:\WINDOWS\tray\wintmr.exe
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"ChicoSys" - "Salfeld Computer" - C:\WINDOWS\system32\cc32\webtmr.exe
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"File-/Update-Service V1.0" (ksupmgr) - "Salfeld Computer" - C:\WINDOWS\system32\ksupmgr.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit http://forum.online-solutions.ru

23elazig23 · 05.01.2011, 14:53

Und von MBRCheck

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000002d

Kernel Drivers (total 121):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806D1000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
  0xBA0B8000 MountMgr.sys
  0xB9F48000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F22000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA0C8000 VolSnap.sys
  0xB9F0A000 atapi.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xB9EEA000 fltmgr.sys
  0xB9ED8000 sr.sys
  0xBA0F8000 PxHelp20.sys
  0xB9EC1000 KSecDD.sys
  0xB9E34000 Ntfs.sys
  0xB9E07000 NDIS.sys
  0xB9DED000 Mup.sys
  0xBA2D8000 \SystemRoot\System32\DRIVERS\processr.sys
  0xB9A47000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
  0xB9A33000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
  0xBA3C8000 \SystemRoot\System32\DRIVERS\fdc.sys
  0xB9A1F000 \SystemRoot\System32\DRIVERS\parport.sys
  0xBA5A4000 \SystemRoot\System32\DRIVERS\gameenum.sys
  0xBA2E8000 \SystemRoot\System32\DRIVERS\i8042prt.sys
  0xBA3D0000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xBA2F8000 \SystemRoot\System32\DRIVERS\serial.sys
  0xB9DC9000 \SystemRoot\System32\DRIVERS\serenum.sys
  0xBA3D8000 \SystemRoot\System32\DRIVERS\usbohci.sys
  0xB99FB000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xBA3E0000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBA318000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB9DC5000 \SystemRoot\system32\drivers\pfc.sys
  0xBA128000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xBA138000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xB99D8000 \SystemRoot\System32\DRIVERS\ks.sys
  0xB99B0000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB9DBD000 \SystemRoot\System32\DRIVERS\nvnetbus.sys
  0xB9966000 \SystemRoot\System32\DRIVERS\NVNRM.SYS
  0xB992F000 \SystemRoot\System32\DRIVERS\NVSNPU.SYS
  0xBA706000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xBA158000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xB9DB1000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xB98D1000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xBA168000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xBA178000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xBA3F0000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xB98C0000 \SystemRoot\System32\DRIVERS\psched.sys
  0xBA188000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xBA400000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xBA408000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xB9890000 \SystemRoot\System32\DRIVERS\rdpdr.sys
  0xBA1C8000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xBA410000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xBA5CA000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xB9832000 \SystemRoot\System32\DRIVERS\update.sys
  0xBA53C000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xBA1D8000 \SystemRoot\System32\DRIVERS\NVENETFD.sys
  0xBA1E8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xBA208000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xBA5D8000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xB6DA8000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB6D84000 \SystemRoot\system32\drivers\portcls.sys
  0xBA218000 \SystemRoot\system32\drivers\drmk.sys
  0xBA420000 \SystemRoot\System32\DRIVERS\flpydisk.sys
  0xBA5E2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA7A7000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5E4000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA438000 \SystemRoot\System32\drivers\vga.sys
  0xBA5E6000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5E8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBA440000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBA448000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA590000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0xB6D51000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB6CF8000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0xB6CD0000 \SystemRoot\System32\DRIVERS\netbt.sys
  0xB6CAE000 \SystemRoot\System32\drivers\afd.sys
  0xBA258000 \SystemRoot\System32\DRIVERS\netbios.sys
  0xBA450000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB6C83000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0xB6BEB000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xBA268000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB6BC5000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0xBA278000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xB6B9F000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA5EC000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB978E000 \SystemRoot\System32\DRIVERS\hidusb.sys
  0xBA2A8000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
  0xBA458000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
  0xB978A000 \SystemRoot\System32\DRIVERS\mouhid.sys
  0xBA2B8000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xBA460000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB6B59000 \SystemRoot\System32\Drivers\usbvideo.sys
  0xB6B41000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBA600000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBA560000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBA468000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA691000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB6314000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB638D000 \??\C:\WINDOWS\system32\drivers\mbam.sys
  0xB6310000 \SystemRoot\System32\DRIVERS\ndisuio.sys
  0xB5717000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB598C000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBA5EE000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB525F000 \SystemRoot\System32\DRIVERS\srv.sys
  0xB4EBA000 \SystemRoot\System32\Drivers\HTTP.sys
  0xBA6FD000 \??\C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 32):
       0 System Idle Process
       4 System
     556 C:\WINDOWS\system32\smss.exe
     676 csrss.exe
     700 C:\WINDOWS\system32\winlogon.exe
     768 C:\WINDOWS\system32\services.exe
     780 C:\WINDOWS\system32\lsass.exe
     968 C:\WINDOWS\system32\svchost.exe
    1044 svchost.exe
    1140 C:\WINDOWS\system32\svchost.exe
    1236 svchost.exe
    1340 svchost.exe
    1612 C:\WINDOWS\explorer.exe
    1644 C:\WINDOWS\system32\spoolsv.exe
    1728 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1940 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    1956 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1108 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1380 C:\WINDOWS\system32\svchost.exe
    1460 C:\Programme\Java\jre6\bin\jqs.exe
    1512 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1872 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
     260 C:\WINDOWS\system32\svchost.exe
     908 C:\WINDOWS\system32\nvsvc32.exe
     912 C:\WINDOWS\system32\svchost.exe
    1484 C:\WINDOWS\system32\svchost.exe
    1268 C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
    3036 C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
    3524 alg.exe
     816 C:\Programme\Mozilla Firefox\firefox.exe
    1664 C:\WINDOWS\system32\notepad.exe
    1040 C:\Dokumente und Einstellungen\Ayhan\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00001800  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000015`f8fdc000  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-52

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus · 05.01.2011, 16:23

GMER ging nicht?

23elazig23 · 05.01.2011, 18:50

Ich habe GMER die Nacht durchlaufen lassen... dann war aufeinmal mein Pc aus!
Und jetzt habe ich es einfach mit Osam gemacht -_-

cosinus · 05.01.2011, 19:49

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

23elazig23 · 05.01.2011, 21:15

SUPERAniSpyware - Log :

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/05/2011 at 09:12 PM

Application Version : 4.47.1000

Core Rules Database Version : 6135
Trace Rules Database Version: 3947

Scan type       : Complete Scan
Total Scan Time : 01:08:46

Memory items scanned      : 493
Memory threats detected   : 0
Registry items scanned    : 6763
Registry threats detected : 1
File items scanned        : 83408
File threats detected     : 1

Rogue.Pallidium
	HKU\S-1-5-21-484763869-1202660629-725345543-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS#WARNONPOSTREDIRECT

Application.Oreans32
	C:\_OTL\MOVEDFILES\01032011_120332\C_WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS

Ab hier bitte weiterlesen !

Ich habe komische Dateien und Ordner in meine Partition "Lokaler Datenträger(F

"

Ich liste mal auf:

Code:

ATTFilter

(Erstmal die Ordner)

_374437_
_388953_
2fd86d6a65e5d8e33014163a742132e9
21e706188f3cd4ef4772
0371cc10f551a4646dc8a6b9
0371cc10f551a4646dc8a6b9\i386
a7ffe95158c470e93c48c78a6dee5a1a
ae89ee9ee6a17b686f59d6be2dbdf7
d34d758fabae889f0fa3c070
f8c43ee0f3f0ea9ff8
f8c43ee0f3f0ea9ff8\i386
found.000
found.001

(Jetzt die Dateien)

03A249~1
032E7D~1
033D9C~1
034AD2~1.HT_
035BDD~1
036AB8~1
036AC2~1.HT_
038BA1~1
0322C7~1
0322D6~1.HT_
0334F6~1.HT_
0371cc10f551a4646dc8a6b9\i386\6to4svc
0371cc10f551a4646dc8a6b9\i386\1394bus
0371cc10f551a4646dc8a6b9\i386\61883
0371cc10f551a4646dc8a6b9\i386\aaclient
0371cc10f551a4646dc8a6b9\i386\ac97ali
0371cc10f551a4646dc8a6b9\i386\ac97via
0371cc10f551a4646dc8a6b9\i386\acadproc
0371cc10f551a4646dc8a6b9\i386\accwiz
0371cc10f551a4646dc8a6b9\i386\acgenral
0371cc10f551a4646dc8a6b9\i386\aclayers
0371cc10f551a4646dc8a6b9\i386\aclui
0371cc10f551a4646dc8a6b9\i386\act_plcy.ht_
0371cc10f551a4646dc8a6b9\i386\actxprxy
0371cc10f551a4646dc8a6b9\i386\adeskerr.ht_
0371cc10f551a4646dc8a6b9\i386\adovbs
0371cc10f551a4646dc8a6b9\i386\adrdyreg.ht_
0371CC~1
0371CC~1
0371CC~1
0371CC~1
0371CC~1.CP_
0371CC~1.HT_
0371CC~1.MU_
0371CC~2
0371CC~2
0371CC~2
0371CC~2.HT_
0371CC~3
0371CC~3
0371CC~3
0371CC~3.HT_
0371CC~4
0371CC~4.HT_
0373AA~1
03779A~1
032944~1
035694~1.HT_
F8C43E~1
F8C43E~1
F8C43E~1
F8C43E~1
F8C43E~1.CP_
F8C43E~1.HT_
F8C43E~2
F8C43E~2
F8C43E~2
F8C43E~2.HT_
F8C43E~3
F8C43E~3
F8C43E~3.HT_
F8C43E~4
F8C43E~4
f8c43ee0f3f0ea9ff8\i386\61883
f8c43ee0f3f0ea9ff8\i386\ac97ali
f8c43ee0f3f0ea9ff8\i386\ac97via
f8c43ee0f3f0ea9ff8\i386\acgenral
f8c43ee0f3f0ea9ff8\i386\aclua
f8c43ee0f3f0ea9ff8\i386\aclui
f8c43ee0f3f0ea9ff8\i386\acpi
f8c43ee0f3f0ea9ff8\i386\acspecfc
f8c43ee0f3f0ea9ff8\i386\activeds
f8c43ee0f3f0ea9ff8\i386\actlan.ht_
f8c43ee0f3f0ea9ff8\i386\actmovie
f8c43ee0f3f0ea9ff8\i386\actshell.ht_
f8c43ee0f3f0ea9ff8\i386\actxprxy
f8c43ee0f3f0ea9ff8\i386\acxtrnal
f8c43ee0f3f0ea9ff8\i386\admexs
f8c43ee0f3f0ea9ff8\i386\admjoy
f8c43ee0f3f0ea9ff8\i386\admparse
f8c43ee0f3f0ea9ff8\i386\adsiis51
f8c43ee0f3f0ea9ff8\i386\adsmsext
f8c43ee0f3f0ea9ff8\i386\adsnt
f8c43ee0f3f0ea9ff8\i386\adv01nt5
F85B15~1

23elazig23 · 05.01.2011, 21:53

Antivir meldet jetzt die ganze Zeit das 4 Viren(Würmer) gefunden wurden, wegen der Quarantäne von Combofix!

Kann ich die ganzen Programme löschen.... sammt den Ordner Qoobox aus dem "Datenträger (C: )" , woher die Viren stammen die von Avira entdeckt wurden und der ganzen anderen Programme die ich gezogen habe ??

Malwarebytes - Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5465

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

05.01.2011 21:58:46
mbam-log-2011-01-05 (21-58-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|F:\|)
Durchsuchte Objekte: 248524
Laufzeit: 48 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 05.01.2011, 22:43

Die "komischen" Dateien auf F:\ sind - wenn ich das alles richtig gesehen habe - Überbleibsel von Hotfixinstallationen (Ordner mit langen Zahlenkolonnen) sowie FOUND.XXX Fragmente, die mW bei Korrekturen von CHKDSK des Dateisystems erstellt werden.
Ich will nicht ausschließen, dass die Objekte tw. noch benötigt werden, falls du sie also loswerden willst, vorher alle Objekte vorm Löschen in einen Backupordner auf einer ext. Platte kopieren.

Zitat:

wegen der Quarantäne von Combofix!

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Wenn dich die Funde so stören, löschst du einfach alle. Hast dann aber später keine Möglichkeit mehr [falls da doch versehentlich eine gute Datei von CF angefasst wurde oder man eine Malwaredatei weiter analysieren möchte] was wiederherzustellen

23elazig23 · 06.01.2011, 11:46

Zitat:

Zitat von cosinus

Die "komischen" Dateien auf F:\ sind - wenn ich das alles richtig gesehen habe - Überbleibsel von Hotfixinstallationen (Ordner mit langen Zahlenkolonnen) sowie FOUND.XXX Fragmente, die mW bei Korrekturen von CHKDSK des Dateisystems erstellt werden.
Ich will nicht ausschließen, dass die Objekte tw. noch benötigt werden, falls du sie also loswerden willst, vorher alle Objekte vorm Löschen in einen Backupordner auf einer ext. Platte kopieren.

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Wenn dich die Funde so stören, löschst du einfach alle. Hast dann aber später keine Möglichkeit mehr [falls da doch versehentlich eine gute Datei von CF angefasst wurde oder man eine Malwaredatei weiter analysieren möchte] was wiederherzustellen

Also was soll ich lieber deiner Meinung machen... bei der Quarantäne ?
Und ja ich weiß was eine Quarantäne ist!
Und sind wir jetzt durch mit alles, kann ich alles löschen?

cosinus · 06.01.2011, 13:32

Zitat:

Und sind wir jetzt durch mit alles, kann ich alles löschen?

Wenn du weiß was eine Quarantäne ist, wieso willst du die Dateien darin löschen?

Ich wills echt nicht nochmal erklären. Lass die Objekte da bitte für den Fall der Fälle drin!

23elazig23 · 06.01.2011, 14:51

Ne ne du hast mich falsch verstanden, ich meinte, mit alles löschen..... Ob ich die anderen Programme, die ich runterladen sollte. Wie z.B. : Osam, MBRCHECK und SUPERAntiSpyware löschen soll ?
Oder bekomm ich wieder so ne .exe die das alles automatisch tut?

Und soll ich die Dateien von der Osam-Quarantäne mit Antivir löschen?
D.h. soll ich die Dateien in die Antivir Quarantäne packen?
Weil ja immer diese Meldungen kommen!

Und noch was ich habe ein paar alte Viren in meiner Antivir-Quarantäne drinn kann ich sie unwiderruflich löschen?

cosinus · 06.01.2011, 16:22

Ja, dann hau alles weg was dich stört wenn es unbedingt weg soll

Ein bisschen Arbeit nimmt dir OTM ab => Oldtimer's OTM und klickst auf CleanUp

23elazig23 · 07.01.2011, 07:25

Ok habe ich getan.
Sind wir jetzt mit allem durch oder folgt noch ein Scan ?

cosinus · 07.01.2011, 11:18

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

23elazig23 · 07.01.2011, 14:16

Ok bin gelich mit dem Leitfaden durch....
Habe ich eigentlich Xp 64 oder 32 Bit ?

Und mein Tune up 2011 macht fast jeden 2. Tag eine Defragmentation auf der partition (Festplatte (E: ).... das war die Festplatte die diese komischen Dateien hatte! (die immer noch dadrauf sind)

Ist das normal?

05.01.2011, 16:23	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	http://www1.mpnrs.com/tracker/........... GMER ging nicht? __________________ __________________

05.01.2011, 19:49	#20
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	http://www1.mpnrs.com/tracker/........... Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

06.01.2011, 16:22	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	http://www1.mpnrs.com/tracker/........... Ja, dann hau alles weg was dich stört wenn es unbedingt weg soll Ein bisschen Arbeit nimmt dir OTM ab => Oldtimer's OTM und klickst auf CleanUp __________________ Logfiles bitte immer in CODE-Tags posten

http://www1.mpnrs.com/tracker/...........

Plagegeister aller Art und deren Bekämpfung: http://www1.mpnrs.com/tracker/...........