TR/Dropper.Gen von Antivir gemeldet

schnake0815 · 08.01.2011, 18:10

Hallo!
Mein Vater hat einen Anhang einer Spammail geöffnet und damit anscheinend auf seinem Rechner den Trojaner TR/Dropper.Gen und anderen Kram installiert. Ich habe mit Antivir das Gröbste anscheinend runterbekommen, aber eine Warnung blieb, wie im Anhang im ersten Antivir-Log zu sehen.

Ich bin daraufhin dieser h**p://www.trojaner-board.de/89918-load-exe-larusso.html Anleitung gefolgt und habe im Anhang die Log-Dateien von GMER, Anti-Malware, Defogger und OTL beigefügt. Zusätzlich sind dort noch ein Hijackthis-Log (auch nach Anleitung erstellt) sowie ein Antivir-Log bevor ich die load.exe verwendet habe und danach (beide entsprechend gekennzeichnet).

Meine Bitte ist nun, dass sich jemand mal die Logs ansieht und mir sagt, dass der Rechner meines Vaters wieder sicher ist bzw. was dafür noch zu tun ist.
Ich habe ihm bereits aufgetragen, seine Passwörter zu ändern, da Anti-Malware was von Pw-Stealer angezeigt hat.

Freundliche Grüße
Fabian

cosinus · 09.01.2011, 16:42

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

schnake0815 · 15.01.2011, 20:34

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5523

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

15.01.2011 12:52:33
mbam-log-2011-01-15 (12-52-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 158878
Laufzeit: 31 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

schnake0815 · 15.01.2011, 20:36

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes

Datenbank Version: 5523

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

15.01.2011 12:52:33
mbam-log-2011-01-15 (12-52-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 158878
Laufzeit: 31 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 17.01.2011, 09:53

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

schnake0815 · 22.01.2011, 13:18

Es gibt nur noch den vom Quickscan:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5481

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

08.01.2011 16:45:35
mbam-log-2011-01-08 (16-45-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125738
Laufzeit: 4 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\win32Runtime (Password.Stealer) -> Value: win32Runtime -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dieser Passwort-Stealer ist im Moment in Quarantäne. Soll der gelöscht werden?

antivir meldete ja direkt nach der infizierung folgendes:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '49' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026380.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026382.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026383.exe
[FUND] Ist das Trojanische Pferd TR/Spyeye.G
Beginne mit der Suche in 'D:\' <Daten>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026380.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5880a6.qua' verschoben!
C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026382.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c2fc5af.qua' verschoben!
C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026383.exe
[FUND] Ist das Trojanische Pferd TR/Spyeye.G
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c3ffd3f.qua' verschoben!

Ende des Suchlaufs: Samstag, 8. Januar 2011 16:19
Benötigte Zeit: 25:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3975 Verzeichnisse wurden überprüft
195742 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
195738 Dateien ohne Befall
1241 Archive wurden durchsucht
1 Warnungen
4 Hinweise
49997 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

cosinus · 22.01.2011, 14:05

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

schnake0815 · 23.01.2011, 14:17

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-22.03 - User 23.01.2011  14:06:46.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.503.272 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\User\Anwendungsdaten\chrtmp
c:\windows\desktop
c:\windows\desktop\Detektiv Langohr Geräusche.lnk

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-23 bis 2011-01-23  ))))))))))))))))))))))))))))))
.

2011-01-23 12:56 . 2011-01-23 12:56	--------	d-----w-	c:\programme\CCleaner
2011-01-23 12:43 . 2011-01-23 12:43	--------	d-sh--w-	c:\dokumente und einstellungen\User\IECompatCache
2011-01-23 12:41 . 2011-01-23 12:41	--------	d-sh--w-	c:\dokumente und einstellungen\User\PrivacIE
2011-01-23 12:40 . 2011-01-23 12:40	--------	d-sh--w-	c:\dokumente und einstellungen\User\IETldCache
2011-01-22 12:09 . 2010-05-06 10:31	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2011-01-22 12:09 . 2010-05-06 10:31	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2011-01-22 12:09 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2011-01-22 12:05 . 2011-01-22 12:09	--------	dc-h--w-	c:\windows\ie8
2011-01-22 12:04 . 2011-01-22 12:04	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-01-08 16:39 . 2011-01-08 16:39	388096	----a-r-	c:\dokumente und einstellungen\User\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-01-08 16:39 . 2011-01-08 16:39	--------	d-----w-	c:\programme\Trend Micro
2011-01-08 15:43 . 2011-01-08 15:43	--------	d-----w-	c:\programme\ERUNT
2011-01-08 15:29 . 2011-01-08 15:29	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2011-01-08 15:29 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-08 15:29 . 2011-01-08 15:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-08 15:29 . 2011-01-08 15:29	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-08 15:29 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-08 15:28 . 2011-01-08 15:28	--------	d-----w-	c:\programme\7-Zip
2011-01-08 14:45 . 2011-01-08 14:45	--------	d--h--w-	c:\windows\PIF

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-22 12:04 . 2007-08-31 09:20	73728	----a-w-	c:\windows\system32\javacpl.cpl
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-31 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"ConsentPromptBehaviorAdmin"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-10-13 16:24	1694208	------w-	c:\programme\Messenger\msmsgs.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.11.2009 18:30 108289]
R3 IwUSB;IwUSB Driver;c:\windows\system32\drivers\IwUSB.sys [29.11.2002 00:01 20645]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [19.02.2010 19:49 135664]
S3 cmeu0wdm;Fujitsu Siemens USB Smartcard Reader;c:\windows\system32\drivers\cmeu0wdm.sys [14.03.2007 10:36 36473]
.
Inhalt des "geplante Tasks" Ordners

2011-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-19 18:49]

2011-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-19 18:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig?hl=de
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxtp://www.gmer.net
Rootkit scan 2011-01-23 14:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2011-01-23  14:12:37
ComboFix-quarantined-files.txt  2011-01-23 13:12

Vor Suchlauf: 9 Verzeichnis(se), 11.377.983.488 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 11.353.096.192 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 1B31BDAA4ABA1D4BF78F7A4178100925

--- --- ---

cosinus · 24.01.2011, 10:10

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

schnake0815 · 12.02.2011, 15:16

GMER:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - h*p://www.gmer.net
Rootkit scan 2011-02-12 15:07:10
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD400LB-07DNA2 rev.79.07B79
Running: g1m3e4r.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\pxldapog.sys


---- System - GMER 1.0.15 ----

SSDT            F8C10576                                                                                                         ZwCreateKey
SSDT            F8C1056C                                                                                                         ZwCreateThread
SSDT            F8C1057B                                                                                                         ZwDeleteKey
SSDT            F8C10585                                                                                                         ZwDeleteValueKey
SSDT            F8C1058A                                                                                                         ZwLoadKey
SSDT            F8C10558                                                                                                         ZwOpenProcess
SSDT            F8C1055D                                                                                                         ZwOpenThread
SSDT            F8C10594                                                                                                         ZwReplaceKey
SSDT            F8C1058F                                                                                                         ZwRestoreKey
SSDT            F8C10580                                                                                                         ZwSetValueKey
SSDT            F8C10567                                                                                                         ZwTerminateProcess

Code            6A494DD8                                                                                                         KeFindConfigurationEntry

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!CreateWindowExW                                     7E36FC25 5 Bytes  JMP 4126DB1C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!DialogBoxParamW                                     7E37555F 5 Bytes  JMP 411954C5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!DialogBoxIndirectParamW                             7E382032 5 Bytes  JMP 4136480F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!MessageBoxIndirectA                                 7E38A04A 5 Bytes  JMP 41364741 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!DialogBoxParamA                                     7E38B10C 5 Bytes  JMP 413647AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!MessageBoxExW                                       7E3A05D8 5 Bytes  JMP 41364612 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!MessageBoxExA                                       7E3A05FC 5 Bytes  JMP 41364674 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!DialogBoxIndirectParamA                             7E3A6B50 5 Bytes  JMP 41364872 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[1468] USER32.dll!MessageBoxIndirectW                                 7E3B62AB 5 Bytes  JMP 413646D6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!UnhookWindowsHookEx                                 7E36F21E 5 Bytes  JMP 411D467C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!CallNextHookEx                                      7E36F85B 5 Bytes  JMP 4125D0ED C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!CreateWindowExW                                     7E36FC25 5 Bytes  JMP 4126DB1C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!DialogBoxParamW                                     7E37555F 5 Bytes  JMP 411954C5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!SetWindowsHookExW                                   7E37DDB5 5 Bytes  JMP 41269AC9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!DialogBoxIndirectParamW                             7E382032 5 Bytes  JMP 4136480F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!MessageBoxIndirectA                                 7E38A04A 5 Bytes  JMP 41364741 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!DialogBoxParamA                                     7E38B10C 5 Bytes  JMP 413647AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!MessageBoxExW                                       7E3A05D8 5 Bytes  JMP 41364612 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!MessageBoxExA                                       7E3A05FC 5 Bytes  JMP 41364674 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!DialogBoxIndirectParamA                             7E3A6B50 5 Bytes  JMP 41364872 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] USER32.dll!MessageBoxIndirectW                                 7E3B62AB 5 Bytes  JMP 413646D6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] ole32.dll!CoCreateInstance                                     774CFAC3 5 Bytes  JMP 4126DB78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2824] ole32.dll!OleLoadFromStream                                    774FA257 5 Bytes  JMP 41364B77 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Internet Explorer\iexplore.exe[2824] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]  [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

OSAM:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
h*tp://www.online-solutions.ru/en/
Saved at 15:13:06 on 12.02.2011

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BDEADMIN.CPL" - ? - C:\WINDOWS\system32\BDEADMIN.CPL
"HP5300CP.cpl" - "Hewlett-Packard" - C:\WINDOWS\system32\HP5300CP.cpl
"HP5300CU.cpl" - "Hewlett-Packard" - C:\WINDOWS\system32\HP5300CU.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"IwUSB Driver" (IwUSB) - "Thesycon GmbH, Germany" - C:\WINDOWS\System32\Drivers\IwUSB.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pxldapog" (pxldapog) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\pxldapog.sys  (Hidden registry entry, rootkit activity | File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"ZDPNDIS5 NDIS Protocol Driver" (ZDPNDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\system32\ZDPNDIS5.SYS
"ZyDAS ZD1211 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyDAS)" (ZD1211U(ZyDAS)) - "ZyDAS Technology Corporation" - C:\WINDOWS\System32\DRIVERS\zd1211u.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\desktop.ini
"ERUNT AutoBackup.lnk" - ? - C:\Programme\ERUNT\AUTOBACK.EXE  (Shortcut exists | File found, but it contains no detailed information | File exists)
"OpenOffice.org 2.3.lnk" - ? - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce )-----
"FlashPlayerUpdate" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\FlashUtil10b.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET-Statusdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit h*tp://forum.online-solutions.ru

MBR:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 117):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF8A42000 \WINDOWS\system32\KDCOM.DLL
0xF8952000 \WINDOWS\system32\BOOTVID.dll
0xF84F2000 ACPI.sys
0xF8A44000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF84E1000 pci.sys
0xF8542000 isapnp.sys
0xF8B0A000 pciide.sys
0xF87C2000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8A46000 intelide.sys
0xF8552000 MountMgr.sys
0xF84C2000 ftdisk.sys
0xF8A48000 dmload.sys
0xF849C000 dmio.sys
0xF87CA000 PartMgr.sys
0xF8562000 VolSnap.sys
0xF8484000 atapi.sys
0xF8572000 disk.sys
0xF8582000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF8464000 fltMgr.sys
0xF8452000 sr.sys
0xF843B000 KSecDD.sys
0xF83AE000 Ntfs.sys
0xF8381000 NDIS.sys
0xF8366000 Mup.sys
0xF8592000 agp440.sys
0xF86A2000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF8258000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF8244000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF821B000 \SystemRoot\system32\DRIVERS\e1000325.sys
0xF8852000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF81F8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF885A000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF86B2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF8862000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF886A000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF8872000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF81E4000 \SystemRoot\system32\DRIVERS\parport.sys
0xF81D3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF89EA000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF86C2000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF86D2000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF81B0000 \SystemRoot\system32\DRIVERS\ks.sys
0xF8122000 \SystemRoot\system32\drivers\smwdm.sys
0xF8100000 \SystemRoot\system32\drivers\portcls.sys
0xF86E2000 \SystemRoot\system32\drivers\drmk.sys
0xF8A5C000 \SystemRoot\system32\drivers\aeaudio.sys
0xF8C38000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF86F2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF89F2000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF80E9000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF8702000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF8712000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF887A000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF80D8000 \SystemRoot\system32\DRIVERS\psched.sys
0xF8722000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF8882000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF888A000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF80A7000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF8732000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8A5E000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF804E000 \SystemRoot\system32\DRIVERS\update.sys
0xF8A0E000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF8752000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF8772000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8A60000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF8892000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF8A62000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8B6F000 \SystemRoot\System32\Drivers\Null.SYS
0xF8A64000 \SystemRoot\System32\Drivers\Beep.SYS
0xF88A2000 \SystemRoot\System32\drivers\vga.sys
0xF8A66000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8A68000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF88AA000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF88B2000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF832D000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEFE72000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEFE1A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEFDF2000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEFDD0000 \SystemRoot\System32\drivers\afd.sys
0xF8792000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF88BA000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEFDA5000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEFD36000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF87B2000 \SystemRoot\System32\Drivers\Fips.SYS
0xEFD15000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF85B2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF88C2000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF89CE000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xEFCD1000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8A6C000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF88EA000 \SystemRoot\System32\Drivers\IwUSB.sys
0xF8652000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEFCB9000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8A72000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF8032000 \SystemRoot\System32\drivers\Dxapi.sys
0xF88F2000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8B33000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF03E000 \SystemRoot\System32\ialmdev5.DLL
0xBF064000 \SystemRoot\System32\ialmdd5.DLL
0xEFB8D000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEFBA1000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEF8C2000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xEF7F6000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEF7B9000 \SystemRoot\system32\drivers\wdmaud.sys
0xEF98D000 \SystemRoot\system32\drivers\sysaudio.sys
0xF8AAE000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xEF464000 \SystemRoot\system32\DRIVERS\srv.sys
0xEF153000 \SystemRoot\System32\Drivers\HTTP.sys
0xEEA95000 \??\C:\DOKUME~1\User\LOKALE~1\Temp\pxldapog.sys
0xEEA6A000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 32):
0 System Idle Process
4 System
576 C:\WINDOWS\system32\smss.exe
640 csrss.exe
664 C:\WINDOWS\system32\winlogon.exe
708 C:\WINDOWS\system32\services.exe
720 C:\WINDOWS\system32\lsass.exe
892 C:\WINDOWS\system32\svchost.exe
972 svchost.exe
1068 C:\WINDOWS\system32\svchost.exe
1132 svchost.exe
1292 svchost.exe
1500 C:\WINDOWS\explorer.exe
1640 C:\WINDOWS\system32\spoolsv.exe
1688 C:\Programme\Avira\AntiVir Desktop\sched.exe
1760 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1768 C:\WINDOWS\system32\igfxtray.exe
1776 C:\WINDOWS\system32\hkcmd.exe
1804 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1816 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
1840 C:\WINDOWS\system32\ctfmon.exe
1860 svchost.exe
1968 C:\Programme\OpenOffice.org 2.3\program\soffice.exe
1988 C:\Programme\OpenOffice.org 2.3\program\soffice.bin
416 C:\Programme\Avira\AntiVir Desktop\avguard.exe
480 C:\Programme\Java\jre6\bin\jqs.exe
604 C:\WINDOWS\system32\svchost.exe
1468 C:\Programme\Internet Explorer\iexplore.exe
2320 alg.exe
2824 C:\Programme\Internet Explorer\iexplore.exe
3512 C:\WINDOWS\system32\wuauclt.exe
1496 C:\Dokumente und Einstellungen\User\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`09658c00 (NTFS)

PhysicalDrive0 Model Number: WDCWD400LB-07DNA2, Rev: 79.07B79

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 12.02.2011, 15:31

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

schnake0815 · 17.03.2011, 17:34

Hallo!
Komme in nächster Zeit nicht mehr zu meinem Vater, aber das Problem scheint ja gelöst zu sein.
Habe vielen Dank für deine Hilfe!

Liebe Grüße
Fabian

17.01.2011, 09:53	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Dropper.Gen von Antivir gemeldet Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ Logfiles bitte immer in CODE-Tags posten

12.02.2011, 15:31	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Dropper.Gen von Antivir gemeldet Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

TR/Dropper.Gen von Antivir gemeldet

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen von Antivir gemeldet