| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wiederWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.01.2011, 00:29
| #16 |
 |  Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Soooo weiter gehts Code:
ATTFilter ComboFix 11-01-25.05 - Spirit 27.01.2011 0:17.1.1 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.2943.2368 [GMT 1:00]
ausgeführt von:: c:\users\Spirit\Desktop\cofi.exe
AV: ESET Smart Security 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
FW: ESET Personal Firewall *Enabled* {4FE52EC8-CB26-1113-0EFE-8842E2773BAA}
SP: ESET Smart Security 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\Spirit\AppData\Roaming\Local
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\1.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\2.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\intro_mfukui.avi.ddr
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\intro_mfukui.avi.ddp
c:\users\Spirit\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx
c:\users\Spirit\AppData\Roaming\MSA
c:\windows\system32\Device.dll
c:\windows\system32\muzapp.exe
c:\windows\system32\system32
c:\windows\system32\system32\cis-2.4.dll
c:\windows\system32\system32\issacapi_bs-2.3.dll
c:\windows\system32\system32\issacapi_pe-2.3.dll
c:\windows\system32\system32\issacapi_se-2.3.dll
c:\windows\system32\system32\MACXMLProto.dll
c:\windows\system32\system32\MaDRM.dll
c:\windows\system32\system32\MaJGUILib.dll
c:\windows\system32\system32\MaJUtilLib.dll
c:\windows\system32\system32\MAMACExtract.dll
c:\windows\system32\system32\MASetupCaller.dll
c:\windows\system32\system32\MASetupCleaner.exe
c:\windows\system32\system32\MaXMLProto.dll
c:\windows\system32\system32\MetaStore2.dll
c:\windows\system32\system32\Microsoft.Synchronization.dll
c:\windows\system32\system32\MK_Lyric.dll
c:\windows\system32\system32\MSCLib.dll
c:\windows\system32\system32\MSFLib.dll
c:\windows\system32\system32\MSLUR71.dll
c:\windows\system32\system32\msvcp60.dll
c:\windows\system32\system32\MTTELECHIP.dll
c:\windows\system32\system32\MTXSYNCICON.dll
c:\windows\system32\system32\muzaf1.dll
c:\windows\system32\system32\muzapp.dll
c:\windows\system32\system32\muzapp.exe
c:\windows\system32\system32\muzdecode.ax
c:\windows\system32\system32\muzeffect.ax
c:\windows\system32\system32\muzmp4sp.ax
c:\windows\system32\system32\muzmpgsp.ax
c:\windows\system32\system32\muzoggsp.ax
c:\windows\system32\system32\muzwmts.dll
c:\windows\system32\system32\psapi.dll
c:\windows\system32\system32\Synchronization2.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-12-26 bis 2011-01-26 ))))))))))))))))))))))))))))))
.
2011-01-26 20:53 . 2011-01-26 20:53 -------- d-----w- C:\_OTL
2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\users\Spirit\AppData\Roaming\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\programdata\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-01-25 20:18 . 2009-11-25 11:47 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2011-01-25 20:18 . 2009-11-25 11:47 49472 ----a-w- c:\windows\system32\netfxperf.dll
2011-01-25 20:18 . 2009-11-25 11:47 297808 ----a-w- c:\windows\system32\mscoree.dll
2011-01-25 20:18 . 2009-11-25 11:47 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2011-01-25 20:18 . 2009-11-25 11:47 1130824 ----a-w- c:\windows\system32\dfshim.dll
2011-01-25 20:12 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2011-01-25 20:10 . 2009-12-11 07:44 133720 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2011-01-25 20:09 . 2010-08-27 05:46 168448 ----a-w- c:\windows\system32\srvsvc.dll
2011-01-25 20:07 . 2010-10-20 03:00 2327552 ----a-w- c:\windows\system32\win32k.sys
2011-01-25 16:24 . 2011-01-25 16:26 -------- d-----w- c:\program files\Windows Live Safety Center
2011-01-25 13:48 . 2008-02-05 14:36 798208 ----a-w- c:\windows\system32\NextControls.ocx
2011-01-25 13:48 . 2000-05-22 16:58 608448 ----a-w- c:\windows\system32\comctl32.ocx
2011-01-24 18:37 . 2011-01-24 18:37 -------- d-----w- c:\users\Spirit\AppData\Local\ESET
2011-01-24 14:59 . 2011-01-24 14:59 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-01-24 14:56 . 2011-01-24 14:56 -------- d-----w- c:\users\Spirit\AppData\Local\Sunbelt Software
2011-01-24 14:54 . 2011-01-24 14:54 -------- d-----w- c:\program files\Lavasoft
2011-01-24 13:28 . 2011-01-13 08:41 357968 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-01-23 18:45 . 2011-01-24 17:28 -------- d-----w- c:\programdata\Alwil Software
2011-01-23 17:19 . 2011-01-26 21:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2011-01-23 15:10 . 2011-01-23 15:10 79360 --sha-r- c:\windows\system32\dwmredirz.dll
2011-01-22 17:49 . 1997-07-19 15:55 1347344 ----a-w- c:\windows\system32\msvbvm50.dll
2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\programdata\Messenger Plus!
2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\program files\Messenger Plus! Live
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Microsoft
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live SkyDrive
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\windows\PCHEALTH
2011-01-11 20:34 . 2011-01-11 20:34 -------- d-----w- c:\program files\TeamViewer
2011-01-11 02:39 . 2011-01-11 02:43 919040 ----a-w- c:\windows\system32\_launch.exe
2011-01-11 02:39 . 2011-01-11 02:39 518656 ----a-w- c:\windows\system32\BomberMan.exe
2011-01-11 02:39 . 2011-01-11 02:39 471552 ----a-w- c:\windows\system32\bmo.dll
2011-01-10 22:04 . 2011-01-11 15:06 -------- d-----w- c:\users\Spirit\AppData\Roaming\skypePM
2011-01-10 22:03 . 2011-01-10 22:03 -------- d-----w- c:\program files\Common Files\Skype
2011-01-10 22:02 . 2011-01-11 20:47 -------- d-----w- c:\users\Spirit\AppData\Roaming\Skype
2011-01-10 22:02 . 2011-01-10 22:02 -------- d-----w- c:\programdata\Skype
2011-01-07 17:32 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-01-07 17:30 . 2011-01-07 17:30 -------- d-----w- c:\users\Spirit\AppData\Local\PunkBuster
2011-01-07 17:28 . 2011-01-10 23:28 139080 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-01-07 17:28 . 2011-01-07 17:28 138056 ----a-w- c:\users\Spirit\AppData\Roaming\PnkBstrK.sys
2011-01-07 17:27 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-01-07 17:27 . 2011-01-10 23:21 270240 ----a-w- c:\windows\system32\PnkBstrB.ex0
2011-01-07 17:27 . 2011-01-07 17:27 75136 ----a-w- c:\windows\system32\PnkBstrA.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-12 00:44 . 2010-11-12 00:44 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-11-08 22:57 . 2010-11-08 22:57 353592 ----a-w- c:\windows\system32\DivXControlPanelApplet.cpl
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=wdmaud.drv
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
2010-12-20 17:08 963976 ----a-w- d:\programme\Malwarebytes' Anti-Malware\mbam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"DivX Download Manager"="c:\program files\DivX\DivX Plus Web Player\DDmService.exe" start
"Windows Mobile Device Center"=%windir%\WindowsMobile\wmdc.exe
R1 aswSnx;aswSnx; [x]
R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2009-02-23 9728]
R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2009-02-23 3072]
R3 FXDrv32;FXDrv32;E:\FXDrv32.sys [x]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712]
R3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\DRIVERS\sscebus.sys [2010-04-27 98560]
R3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\DRIVERS\sscemdfl.sys [2010-04-27 14848]
R3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\DRIVERS\sscemdm.sys [2010-04-27 123648]
R3 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2010-12-07 2228008]
R3 XDva289;XDva289;c:\windows\system32\XDva289.sys [x]
R4 Winstep Xtreme Service;Winstep Xtreme Service;d:\programme\Winstep\WsxService [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-25 691696]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2010-09-09 95568]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-07-26 217088]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-09-09 18120]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-09-09 36640]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - FSUSBEXDISK
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Spirit\AppData\Roaming\Mozilla\Firefox\Profiles\6k6sjex9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2843456&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Noia 2.0 (eXtreme): {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} - %profile%\extensions\{9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Noia 2.0 eXtreme OPT: noia2_option@kk.noia - %profile%\extensions\noia2_option@kk.noia
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com
FF - Ext: Aero Fox Silver XL: {5c876f30-10ce-11dd-bd0b-0800200c9a66} - %profile%\extensions\{5c876f30-10ce-11dd-bd0b-0800200c9a66}
FF - Ext: Bloomind FT Graphite: {8225d6f0-dfca-11df-85ca-0800200c9a66} - %profile%\extensions\{8225d6f0-dfca-11df-85ca-0800200c9a66}
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files\DivX\DivX Plus Web Player\firefox\wpa
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
MSConfigStartUp-egui - d:\programme\ESET Smart Security\egui.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winstep Xtreme Service]
"ImagePath"="d:\programme\Winstep\WsxService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-01-27 00:26:58
ComboFix-quarantined-files.txt 2011-01-26 23:26
Vor Suchlauf: 7 Verzeichnis(se), 13.749.870.592 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 13.654.642.688 Bytes frei
- - End Of File - - BC436B5B028AA1142E7945EB15DE5AF8
EDIT: Ok, ich muss mich berichtigen. Nun ist die Fahne wieder da. Scheint alles in Ordnung zu sein, das Sicherheitscenter und der Defender Arbeiten wieder. Er meckert nur ein wenig über das noch fehlende Antivirenprogramm Geändert von Schnupsi (27.01.2011 um 00:46 Uhr) |
|
27.01.2011, 09:29
| #17 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Seccenter::
AV: ESET Smart Security 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
FW: ESET Personal Firewall *Enabled* {4FE52EC8-CB26-1113-0EFE-8842E2773BAA}
SP: ESET Smart Security 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
File::
c:\windows\system32\_launch.exe
c:\windows\system32\BomberMan.exe
c:\windows\system32\bmo.dll
c:\windows\system32\epmntdrv.sys
c:\windows\system32\EuGdiDrv.sys
c:\windows\system32\XDva289.sys
Driver::
FXDrv32
epmntdrv
EuGdiDrv
XDva289
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
|
27.01.2011, 10:22
| #18 |
| | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder So leider muss ich nun mit dem Notebook antworten, da nachdem die cofi.exe einen Neustart veranlasst hat, der Firefox mit folgender Meldung den Dienst versagt:
__________________C:\Program Files\Mozilla Firefox\firefox.exe Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum löschen markiert wurde. EDIT: Ignoriere den oberen Teil, FF startet nun doch wieder Hier aber erstmal das Log Code:
ATTFilter ComboFix 11-01-26.01 - Spirit 27.01.2011 9:55.2.1 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.2943.2247 [GMT 1:00]
ausgeführt von:: c:\users\Spirit\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Spirit\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
* Im Speicher befindliches AV aktiv.
FILE ::
"c:\windows\system32\_launch.exe"
"c:\windows\system32\bmo.dll"
"c:\windows\system32\BomberMan.exe"
"c:\windows\system32\epmntdrv.sys"
"c:\windows\system32\EuGdiDrv.sys"
"c:\windows\system32\XDva289.sys"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\_launch.exe
c:\windows\system32\bmo.dll
c:\windows\system32\BomberMan.exe
c:\windows\system32\epmntdrv.sys
c:\windows\system32\EuGdiDrv.sys
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_EPMNTDRV
-------\Legacy_EUGDIDRV
-------\Legacy_FXDRV32
-------\Legacy_XDVA289
-------\Service_epmntdrv
-------\Service_EuGdiDrv
-------\Service_FXDrv32
-------\Service_XDva289
((((((((((((((((((((((( Dateien erstellt von 2010-12-27 bis 2011-01-27 ))))))))))))))))))))))))))))))
.
2011-01-27 09:04 . 2011-01-27 09:06 -------- d-----w- c:\users\Spirit\AppData\Local\temp
2011-01-27 09:04 . 2011-01-27 09:04 -------- d-----w- c:\users\Mcx1-SPIRIT-PC\AppData\Local\temp
2011-01-27 09:04 . 2011-01-27 09:04 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\users\Spirit\AppData\Roaming\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-26 19:14 . 2011-01-26 19:14 -------- d-----w- c:\programdata\Malwarebytes
2011-01-26 19:14 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-01-25 20:18 . 2009-11-25 11:47 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2011-01-25 20:18 . 2009-11-25 11:47 49472 ----a-w- c:\windows\system32\netfxperf.dll
2011-01-25 20:18 . 2009-11-25 11:47 297808 ----a-w- c:\windows\system32\mscoree.dll
2011-01-25 20:18 . 2009-11-25 11:47 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2011-01-25 20:18 . 2009-11-25 11:47 1130824 ----a-w- c:\windows\system32\dfshim.dll
2011-01-25 20:12 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2011-01-25 20:10 . 2009-12-11 07:44 133720 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2011-01-25 20:09 . 2010-08-27 05:46 168448 ----a-w- c:\windows\system32\srvsvc.dll
2011-01-25 20:07 . 2010-10-20 03:00 2327552 ----a-w- c:\windows\system32\win32k.sys
2011-01-25 16:24 . 2011-01-25 16:26 -------- d-----w- c:\program files\Windows Live Safety Center
2011-01-25 13:48 . 2008-02-05 14:36 798208 ----a-w- c:\windows\system32\NextControls.ocx
2011-01-25 13:48 . 2000-05-22 16:58 608448 ----a-w- c:\windows\system32\comctl32.ocx
2011-01-24 18:37 . 2011-01-24 18:37 -------- d-----w- c:\users\Spirit\AppData\Local\ESET
2011-01-24 14:59 . 2011-01-24 14:59 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-01-24 14:56 . 2011-01-24 14:56 -------- d-----w- c:\users\Spirit\AppData\Local\Sunbelt Software
2011-01-24 14:54 . 2011-01-24 14:54 -------- d-----w- c:\program files\Lavasoft
2011-01-24 13:28 . 2011-01-13 08:41 357968 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-01-23 18:45 . 2011-01-24 17:28 -------- d-----w- c:\programdata\Alwil Software
2011-01-23 17:19 . 2011-01-26 21:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2011-01-23 15:10 . 2011-01-23 15:10 79360 --sha-r- c:\windows\system32\dwmredirz.dll
2011-01-22 17:49 . 1997-07-19 15:55 1347344 ----a-w- c:\windows\system32\msvbvm50.dll
2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\programdata\Messenger Plus!
2011-01-17 17:55 . 2011-01-17 17:55 -------- d-----w- c:\program files\Messenger Plus! Live
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Microsoft
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live SkyDrive
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\program files\Windows Live
2011-01-17 17:53 . 2011-01-17 17:53 -------- d-----w- c:\windows\PCHEALTH
2011-01-11 20:34 . 2011-01-11 20:34 -------- d-----w- c:\program files\TeamViewer
2011-01-10 22:04 . 2011-01-11 15:06 -------- d-----w- c:\users\Spirit\AppData\Roaming\skypePM
2011-01-10 22:03 . 2011-01-10 22:03 -------- d-----w- c:\program files\Common Files\Skype
2011-01-10 22:02 . 2011-01-11 20:47 -------- d-----w- c:\users\Spirit\AppData\Roaming\Skype
2011-01-10 22:02 . 2011-01-10 22:02 -------- d-----w- c:\programdata\Skype
2011-01-07 17:32 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-01-07 17:30 . 2011-01-07 17:30 -------- d-----w- c:\users\Spirit\AppData\Local\PunkBuster
2011-01-07 17:28 . 2011-01-10 23:28 139080 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-01-07 17:28 . 2011-01-07 17:28 138056 ----a-w- c:\users\Spirit\AppData\Roaming\PnkBstrK.sys
2011-01-07 17:27 . 2011-01-10 23:28 270240 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-01-07 17:27 . 2011-01-10 23:21 270240 ----a-w- c:\windows\system32\PnkBstrB.ex0
2011-01-07 17:27 . 2011-01-07 17:27 75136 ----a-w- c:\windows\system32\PnkBstrA.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-12 00:44 . 2010-11-12 00:44 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-11-08 22:57 . 2010-11-08 22:57 353592 ----a-w- c:\windows\system32\DivXControlPanelApplet.cpl
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NextSTART"="d:\programme\Winstep\nextstart.exe" [2010-10-13 7262848]
"WorkShelf"="d:\programme\Winstep\WorkShelf.exe" [2010-10-13 15274112]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="d:\programme\ESET\Smart Security\egui.exe" [2010-11-04 2219184]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=wdmaud.drv
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
2010-12-20 17:08 963976 ----a-w- d:\programme\Malwarebytes' Anti-Malware\mbam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"DivX Download Manager"="c:\program files\DivX\DivX Plus Web Player\DDmService.exe" start
"Windows Mobile Device Center"=%windir%\WindowsMobile\wmdc.exe
R1 aswSnx;aswSnx; [x]
R3 CFcatchme;CFcatchme;c:\users\Spirit\AppData\Local\Temp\CFcatchme.sys [x]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712]
R3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\DRIVERS\sscebus.sys [2010-04-27 98560]
R3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\DRIVERS\sscemdfl.sys [2010-04-27 14848]
R3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\DRIVERS\sscemdm.sys [2010-04-27 123648]
R3 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2010-12-07 2228008]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-25 691696]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2010-07-29 115008]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2010-09-09 95568]
S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [2010-09-03 137144]
S2 ekrn;ESET Service;d:\programme\ESET\Smart Security\ekrn.exe [2010-11-04 810144]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [2010-07-29 41336]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-07-26 217088]
S2 Winstep Xtreme Service;Winstep Xtreme Service;d:\programme\Winstep\WsxService [x]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-09-09 18120]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-09-09 36640]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - FSUSBEXDISK
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Spirit\AppData\Roaming\Mozilla\Firefox\Profiles\6k6sjex9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2843456&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Noia 2.0 (eXtreme): {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} - %profile%\extensions\{9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Noia 2.0 eXtreme OPT: noia2_option@kk.noia - %profile%\extensions\noia2_option@kk.noia
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files\DivX\DivX Plus Web Player\firefox\wpa
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winstep Xtreme Service]
"ImagePath"="d:\programme\Winstep\WsxService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\taskhost.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\sppsvc.exe
d:\programme\Winstep\WsxService.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\taskhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-27 10:08:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-01-27 09:08
Vor Suchlauf: 9 Verzeichnis(se), 14.246.072.320 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 14.012.616.704 Bytes frei
- - End Of File - - C6ACD880878267ED3870D6EAD9539A84
Geändert von Schnupsi (27.01.2011 um 10:36 Uhr) |
|
27.01.2011, 11:14
| #19 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
27.01.2011, 11:43
| #20 |
| | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Datei: Qoobox.rar empfangen Vorgang erfolgreich abgeschlossen. Oh ich sehe gerade du verlangtest eine Zip Datei, ich hoffe eine .rar geht auch ok? |
|
27.01.2011, 11:58
| #21 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Ist schon ok. Ich hab sie bekommen und schau mal kurz rein. Du kannst in der Zwischenzeiot weitermachen: Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ --> Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder |
|
27.01.2011, 14:26
| #22 |
| | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Soooo.... Gmer Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-27 14:15:28
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST3160815AS rev.4.AAB
Running: shrje9o2.exe; Driver: C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82C80599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82CA4F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
? System32\Drivers\spol.sys Das System kann den angegebenen Pfad nicht finden. !
PAGE ataport.SYS!DllUnload + 1 8AEA7AD7 4 Bytes JMP 854971D9
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x90C2B000, 0x267978, 0xE8000020]
.text USBPORT.SYS!DllUnload 91456CA0 5 Bytes JMP 865924E0
.text a1vq0k3e.SYS 914CE000 12 Bytes [44, B8, C0, 82, EE, B6, C0, ...]
.text a1vq0k3e.SYS 914CE00D 9 Bytes [97, C0, 82, 48, BB, C0, 82, ...]
.text a1vq0k3e.SYS 914CE017 170 Bytes [00, DE, 27, D2, 8A, E6, 25, ...]
.text a1vq0k3e.SYS 914CE0C3 8 Bytes [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
.text a1vq0k3e.SYS 914CE0CE 4 Bytes [00, 00, 00, 00] {ADD [EAX], AL; ADD [EAX], AL}
.text ...
---- User code sections - GMER 1.0.15 ----
.text D:\Programme\ESET\Smart Security\ekrn.exe[2556] kernel32.dll!SetUnhandledExceptionFilter 75993162 4 Bytes [C2, 04, 00, 00]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8AC26042] \SystemRoot\System32\Drivers\spol.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8AC266D6] \SystemRoot\System32\Drivers\spol.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8AC26800] \SystemRoot\System32\Drivers\spol.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8AC2613E] \SystemRoot\System32\Drivers\spol.sys
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortNotification] 00147880
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortQuerySystemTime] 78800C75
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReadPortUchar] 06750015
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortStallExecution] C25DC033
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortUchar] 458B0008
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortUlong] 6A006A08
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 50056A24
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 005AB7E8
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetScatterGatherList] 0001B800
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetParentBusType] C25D0000
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortRequestCallback] CCCC0008
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortWritePortBufferUshort] CCCCCCCC
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetUnCachedExtension] CCCCCCCC
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCompleteRequest] CCCCCCCC
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCopyMemory] 53EC8B55
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortEtwTraceLog] 800C5D8B
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 7500117B
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 127B806A
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 80647500
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7500137B
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortInitialize] 157B805E
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortGetDeviceBase] 56587500
IAT \SystemRoot\System32\Drivers\a1vq0k3e.SYS[ataport.SYS!AtaPortDeviceStateChange] 8008758B
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8549D1F8
Device \Driver\volmgr \Device\VolMgrControl 854991F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{A2D2733D-A666-4CAE-A21D-38F83BFA0264} 864D51F8
Device \Driver\usbohci \Device\USBPDO-0 865A91F8
Device \Driver\usbohci \Device\USBPDO-1 865A91F8
Device \Driver\usbohci \Device\USBPDO-2 865A91F8
Device \Driver\usbohci \Device\USBPDO-3 865A91F8
Device \Driver\usbohci \Device\USBPDO-4 865A91F8
Device \Driver\usbehci \Device\USBPDO-5 865A8500
Device \Driver\PCI_PNP1003 \Device\00000062 spol.sys
Device \Driver\volmgr \Device\HarddiskVolume1 854991F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume2 854991F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
Device \Driver\cdrom \Device\CdRom0 863A21F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8549B1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 8549B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8549B1F8
Device \Driver\atapi \Device\Ide\IdePort1 8549B1F8
Device \Driver\atapi \Device\Ide\IdePort2 8549B1F8
Device \Driver\atapi \Device\Ide\IdePort3 8549B1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-6 8549B1F8
Device \Driver\cdrom \Device\CdRom1 863A21F8
Device \Driver\cdrom \Device\CdRom2 863A21F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 864D51F8
Device \Driver\ACPI_HAL \Device\0000005b halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device \Driver\sptd \Device\1037387005 spol.sys
Device \Driver\usbohci \Device\USBFDO-0 865A91F8
Device \Driver\usbohci \Device\USBFDO-1 865A91F8
Device \Driver\usbohci \Device\USBFDO-2 865A91F8
Device \Driver\usbohci \Device\USBFDO-3 865A91F8
Device \Driver\usbohci \Device\USBFDO-4 865A91F8
Device \Driver\usbehci \Device\USBFDO-5 865A8500
Device \Driver\a1vq0k3e \Device\Scsi\a1vq0k3e1Port4Path0Target0Lun0 8663F500
Device \Driver\a1vq0k3e \Device\Scsi\a1vq0k3e1 8663F500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xDE 0x33 0x93 0x39 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD2 0xA0 0x5B 0x91 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3D 0x11 0x29 0x0F ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xDE 0x33 0x93 0x39 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD2 0xA0 0x5B 0x91 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3D 0x11 0x29 0x0F ...
---- EOF - GMER 1.0.15 ----
OSAM Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 14:20:38 on 27.01.2011 OS: Windows 7 Ultimate Edition (Build 7600), 32-bit Default Browser: Mozilla Corporation Firefox 3.6.13 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "a1vq0k3e" (a1vq0k3e) - "Microsoft Corporation" - C:\Windows\system32\drivers\a1vq0k3e.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\Windows\System32\Drivers\usbaapl.sys "ASPI32" (ASPI32) - ? - C:\Windows\system32\drivers\ASPI32.sys (File not found) "aswSnx" (aswSnx) - "AVAST Software" - C:\Windows\system32\drivers\aswSnx.sys "catchme" (catchme) - ? - C:\Users\Spirit\AppData\Local\Temp\catchme.sys (File not found) "CFcatchme" (CFcatchme) - ? - C:\Users\Spirit\AppData\Local\Temp\CFcatchme.sys (File not found) "dgderdrv" (dgderdrv) - "Devguru Co., Ltd" - C:\Windows\System32\drivers\dgderdrv.sys "EagleNT" (EagleNT) - ? - C:\Windows\system32\drivers\EagleNT.sys (File not found) "FsUsbExDisk" (FsUsbExDisk) - ? - C:\Windows\system32\FsUsbExDisk.SYS (File found, but it contains no detailed information) "pgryqpob" (pgryqpob) - ? - C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys (Hidden registry entry, rootkit activity | File not found) "sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler )----- {E31004D1-A431-41B8-826F-E902F9D95C81} "Windows DreamScene" - "Microsoft Corporation" - C:\Windows\System32\DreamScene.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll {83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll {B089FE88-FB52-11D3-BDF1-0050DA34150D} "ESET Smart Security - Context Menu Shell Extension" - "ESET" - D:\Programme\ESET\Smart Security\shellExt.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll {ACBA0BA3-ACED-4E02-9221-794F7588DD9C} "MP3Ext Class" - "TODO: <Company name>" - D:\Programme\All To MP3 Converter\MP3ShellExt.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {593DDEC6-7468-4cdd-90E1-42DADAA222E9} "DivX HiQ" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll {326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "egui" - "ESET" - "D:\Programme\ESET\Smart Security\egui.exe" /hide /waitservice [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Akamai NetSession Interface" (Akamai) - ? - c:\program files\common files\akamai\netsession_win_dbc0250.dll (File found, but it contains no detailed information) "Ati External Event Utility" (Ati External Event Utility) - ? - C:\Windows\system32\Ati2evxx.exe (File not found) "Device Error Recovery Service" (dgdersvc) - "Devguru Co., Ltd." - C:\Windows\system32\dgdersvc.exe "ESET HTTP Server" (EhttpSrv) - "ESET" - D:\Programme\ESET\Smart Security\EHttpSrv.exe "ESET Service" (ekrn) - "ESET" - D:\Programme\ESET\Smart Security\ekrn.exe "FsUsbExService" (FsUsbExService) - "Teruten" - C:\Windows\system32\FsUsbExService.Exe "nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\Windows\system32\GameMon.des "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe (File found, but it contains no detailed information) "TeamViewer 6" (TeamViewer6) - "TeamViewer GmbH" - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe "Winstep Xtreme Service" (Winstep Xtreme Service) - "Winstep Software Technologies" - D:\Programme\Winstep\WsxService.exe [Winlogon] -----( HKCU\Control Panel\Desktop )----- "SCRNSAVE.EXE" - ? - none (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: FOXCONN
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: FOXCONN
System Product Name: A6VMX
Logical Drives Mask: 0x0000007c
Kernel Drivers (total 200):
0x82C3D000 \SystemRoot\system32\ntkrnlpa.exe
0x82C06000 \SystemRoot\system32\halmacpi.dll
0x80BD4000 \SystemRoot\system32\kdcom.dll
0x8323B000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
0x83246000 \SystemRoot\system32\PSHED.dll
0x83257000 \SystemRoot\system32\BOOTVID.dll
0x8325F000 \SystemRoot\system32\CLFS.SYS
0x832A1000 \SystemRoot\system32\CI.dll
0x8334C000 \SystemRoot\system32\drivers\Wdf01000.sys
0x833BD000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8AC24000 \SystemRoot\System32\Drivers\spol.sys
0x8AD17000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8AD20000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8AD46000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8AD8E000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8AD96000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8ADA1000 \SystemRoot\system32\DRIVERS\pci.sys
0x8ADCB000 \SystemRoot\System32\drivers\partmgr.sys
0x8ADDC000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8ADE4000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8ADEF000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x8AE13000 \SystemRoot\System32\drivers\volmgrx.sys
0x8AE5E000 \SystemRoot\system32\DRIVERS\pciide.sys
0x8AE65000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x8AE73000 \SystemRoot\System32\drivers\mountmgr.sys
0x8AE89000 \SystemRoot\system32\DRIVERS\atapi.sys
0x8AE92000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x8AEB5000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8AEBE000 \SystemRoot\system32\drivers\fltmgr.sys
0x8AEF2000 \SystemRoot\system32\drivers\fileinfo.sys
0x8B018000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8B147000 \SystemRoot\System32\Drivers\msrpc.sys
0x8B172000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8B185000 \SystemRoot\System32\Drivers\cng.sys
0x8B1E2000 \SystemRoot\System32\drivers\pcw.sys
0x8B1F0000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8AF03000 \SystemRoot\system32\drivers\ndis.sys
0x8AFBA000 \SystemRoot\system32\drivers\NETIO.SYS
0x833CB000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8B221000 \SystemRoot\System32\drivers\tcpip.sys
0x8B36A000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8B39B000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x8B3A4000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8B3E3000 \SystemRoot\System32\Drivers\spldr.sys
0x83200000 \SystemRoot\System32\drivers\rdyboost.sys
0x8B3EB000 \SystemRoot\System32\Drivers\mup.sys
0x8B200000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8B435000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8B467000 \SystemRoot\system32\DRIVERS\disk.sys
0x8B478000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x8B4CF000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8B54A000 \SystemRoot\System32\Drivers\Null.SYS
0x8B551000 \SystemRoot\System32\Drivers\Beep.SYS
0x8B558000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0x8B577000 \SystemRoot\System32\drivers\vga.sys
0x8B583000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8B5A4000 \SystemRoot\System32\drivers\watchdog.sys
0x8B5B1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8B5B9000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8B5C1000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8B5C9000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8B5D4000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8B5E2000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8B400000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8B4EE000 \SystemRoot\system32\drivers\afd.sys
0x90224000 \SystemRoot\System32\DRIVERS\netbt.sys
0x90256000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x9025D000 \SystemRoot\system32\DRIVERS\pacer.sys
0x9027C000 \SystemRoot\system32\DRIVERS\netbios.sys
0x9028A000 \SystemRoot\system32\DRIVERS\serial.sys
0x902A4000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x902B7000 \SystemRoot\system32\DRIVERS\termdd.sys
0x902C7000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x90308000 \SystemRoot\system32\drivers\nsiproxy.sys
0x90312000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x9031C000 \SystemRoot\System32\drivers\discache.sys
0x90328000 \SystemRoot\system32\drivers\csc.sys
0x9038C000 \SystemRoot\System32\Drivers\dfsc.sys
0x903A4000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x903B2000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x903D3000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x90C2A000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x910BB000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x91172000 \SystemRoot\System32\drivers\dxgmms1.sys
0x911AB000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x911D0000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x91432000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x9147D000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x9148C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x914AB000 \SystemRoot\system32\DRIVERS\serenum.sys
0x914B5000 \SystemRoot\system32\DRIVERS\parport.sys
0x914CD000 \SystemRoot\System32\Drivers\a1vq0k3e.SYS
0x91506000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x9151E000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x91530000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x91548000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x91553000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x91575000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x9158D000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x915A4000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x915BB000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x915C5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x915D2000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x915DF000 \SystemRoot\system32\DRIVERS\swenum.sys
0x95012000 \SystemRoot\system32\DRIVERS\ks.sys
0x95046000 \SystemRoot\system32\DRIVERS\umbus.sys
0x95054000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x95098000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x950A9000 \SystemRoot\system32\drivers\HdAudio.sys
0x950F9000 \SystemRoot\system32\drivers\portcls.sys
0x95128000 \SystemRoot\system32\drivers\drmk.sys
0x96C90000 \SystemRoot\System32\win32k.sys
0x95141000 \SystemRoot\System32\drivers\Dxapi.sys
0x9514B000 \SystemRoot\System32\Drivers\crashdmp.sys
0x95158000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x95163000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x9516C000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x9517D000 \SystemRoot\system32\DRIVERS\monitor.sys
0x96EF0000 \SystemRoot\System32\TSDDD.dll
0x96F20000 \SystemRoot\System32\cdd.dll
0x95188000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9519F000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x951A1000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x951AC000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x951BF000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x951C6000 \SystemRoot\system32\DRIVERS\KMWDFILTER.sys
0x951CF000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x951DB000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x915E1000 \SystemRoot\system32\drivers\luafv.sys
0x8201F000 \SystemRoot\system32\DRIVERS\eamonm.sys
0x820C5000 \SystemRoot\system32\drivers\WudfPf.sys
0x820DF000 \SystemRoot\system32\DRIVERS\epfw.sys
0x82101000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x82111000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x82157000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x82167000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8217A000 \SystemRoot\system32\drivers\HTTP.sys
0x82000000 \SystemRoot\system32\DRIVERS\bowser.sys
0x951E6000 \SystemRoot\System32\drivers\mpsdrv.sys
0x91400000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9C224000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9C25F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9C27A000 \SystemRoot\system32\DRIVERS\parvdm.sys
0x9C28F000 \SystemRoot\system32\drivers\peauth.sys
0x9C326000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9C330000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9C351000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9C35E000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9C3AD000 \SystemRoot\System32\DRIVERS\srv.sys
0x98896000 \SystemRoot\System32\drivers\rdpdr.sys
0x988BB000 \SystemRoot\system32\drivers\tdtcp.sys
0x988C5000 \SystemRoot\System32\DRIVERS\tssecsrv.sys
0x988D2000 \SystemRoot\System32\Drivers\RDPWD.SYS
0x98903000 \??\C:\Windows\system32\FsUsbExDisk.SYS
0x9890C000 \SystemRoot\System32\drivers\dgderdrv.sys
0x9890F000 \SystemRoot\System32\Drivers\ov519vid.sys
0x98938000 \SystemRoot\System32\Drivers\STREAM.SYS
0x98946000 \SystemRoot\System32\Drivers\ov519cmd.sys
0x9894C000 \SystemRoot\system32\drivers\usbaudio.sys
0x98960000 \??\C:\Users\Spirit\AppData\Local\Temp\pgryqpob.sys
0x771E0000 \Windows\System32\ntdll.dll
0x48560000 \Windows\System32\smss.exe
0x77420000 \Windows\System32\apisetschema.dll
0x10000000 \Programme\DAEMON Tools Lite\Engine.dll
0x00FD0000 \Windows\System32\autochk.exe
0x770A0000 \Windows\System32\urlmon.dll
0x77400000 \Windows\System32\psapi.dll
0x773F0000 \Windows\System32\nsi.dll
0x77340000 \Windows\System32\msvcrt.dll
0x77320000 \Windows\System32\imm32.dll
0x76F00000 \Windows\System32\setupapi.dll
0x76E00000 \Windows\System32\wininet.dll
0x76CA0000 \Windows\System32\ole32.dll
0x76C50000 \Windows\System32\gdi32.dll
0x76C00000 \Windows\System32\Wldap32.dll
0x76B80000 \Windows\System32\comdlg32.dll
0x76980000 \Windows\System32\iertutil.dll
0x76940000 \Windows\System32\ws2_32.dll
0x76870000 \Windows\System32\msctf.dll
0x76810000 \Windows\System32\shlwapi.dll
0x75BC0000 \Windows\System32\shell32.dll
0x75BB0000 \Windows\System32\normaliz.dll
0x75B10000 \Windows\System32\usp10.dll
0x75AE0000 \Windows\System32\imagehlp.dll
0x75AC0000 \Windows\System32\sechost.dll
0x75A30000 \Windows\System32\oleaut32.dll
0x75A20000 \Windows\System32\lpk.dll
0x75940000 \Windows\System32\kernel32.dll
0x758A0000 \Windows\System32\advapi32.dll
0x75840000 \Windows\System32\difxapi.dll
0x757B0000 \Windows\System32\clbcatq.dll
0x75700000 \Windows\System32\rpcrt4.dll
0x75630000 \Windows\System32\user32.dll
0x755E0000 \Windows\System32\KernelBase.dll
0x755B0000 \Windows\System32\wintrust.dll
0x75590000 \Windows\System32\devobj.dll
0x75470000 \Windows\System32\crypt32.dll
0x753E0000 \Windows\System32\comctl32.dll
0x753B0000 \Windows\System32\cfgmgr32.dll
0x753A0000 \Windows\System32\msasn1.dll
Processes (total 38):
0 System Idle Process
4 SYSTEM
244 C:\Windows\System32\smss.exe
340 csrss.exe
416 C:\Windows\System32\wininit.exe
424 csrss.exe
480 C:\Windows\System32\winlogon.exe
508 C:\Windows\System32\services.exe
528 C:\Windows\System32\lsass.exe
536 C:\Windows\System32\lsm.exe
648 C:\Windows\System32\svchost.exe
708 C:\Windows\System32\svchost.exe
756 C:\Windows\System32\svchost.exe
832 C:\Windows\System32\svchost.exe
868 C:\Windows\System32\svchost.exe
1080 C:\Windows\System32\svchost.exe
1204 C:\Windows\System32\svchost.exe
1336 C:\Windows\System32\spoolsv.exe
1372 C:\Windows\System32\svchost.exe
1476 C:\Windows\System32\taskhost.exe
1576 C:\Windows\System32\svchost.exe
1584 C:\Windows\System32\dwm.exe
1604 C:\Windows\explorer.exe
1660 C:\Windows\System32\dgdersvc.exe
2024 C:\Windows\System32\svchost.exe
100 C:\Windows\System32\FsUsbExService.Exe
288 C:\Windows\System32\PnkBstrA.exe
1116 C:\Windows\System32\svchost.exe
2680 C:\Windows\System32\svchost.exe
2852 C:\Program Files\Windows Media Player\wmpnetwk.exe
3428 C:\Windows\System32\svchost.exe
3160 C:\Windows\System32\svchost.exe
2556 D:\Programme\ESET\Smart Security\ekrn.exe
1976 C:\Windows\System32\audiodg.exe
3016 C:\Program Files\Mozilla Firefox\firefox.exe
1568 C:\Users\Spirit\Desktop\MBRCheck.exe
2096 C:\Windows\System32\conhost.exe
2896 C:\Windows\System32\dllhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`52c65e00 (NTFS)
PhysicalDrive0 Model Number: ST3160815AS, Rev: 4.AAB
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Done!
Nur so aus Neugier, sind wir denn bald durch? |
|
27.01.2011, 14:58
| #23 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.01.2011, 18:56
| #24 |
| | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder So ich hoffe das war alles Malwarebytes [CODE]Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5618
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
27.01.2011 17:01:01
mbam-log-2011-01-27 (17-01-01).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 245254
Laufzeit: 25 Minute(n), 1 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
SASW Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 01/27/2011 at 06:24 PM
Application Version : 4.48.1000
Core Rules Database Version : 6287
Trace Rules Database Version: 4099
Scan type : Complete Scan
Total Scan Time : 00:51:46
Memory items scanned : 691
Memory threats detected : 0
Registry items scanned : 8465
Registry threats detected : 0
File items scanned : 101404
File threats detected : 10
Adware.Tracking Cookie
C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@atdmt.combing[2].txt
C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@tradedoubler[2].txt
C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@apmebf[1].txt
C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@atdmt[1].txt
C:\Users\Spirit\AppData\Roaming\Microsoft\Windows\Cookies\spirit@mediaplex[2].txt
Trojan.Agent/Gen-Nullo[Short]
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\BMO.DLL.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\BOMBERMAN.EXE.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\EPMNTDRV.SYS.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\EUGDIDRV.SYS.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\_LAUNCH.EXE.VIR
|
|
27.01.2011, 19:41
| #25 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Sieht gut aus. Nur Überreste und Cookies. Noch Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.01.2011, 21:46
| #26 |
| | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Nein, alles soweit in Ordnung. Das Wartungscenter meldet auch: Keine aktuellen Probleme erkannt. Im Gegenteil, wie du dir sicher denken kannst läuft mein System gefühlt auch wieder wie frisch installiert. Vielen Dank, ich werde auf jeden Fall das Board weiter empfehlen.  |
|
27.01.2011, 21:50
| #27 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder Dann wären wir durch!  Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder |
| aktivieren, anderen, automatisch, computer, deaktiviert, diverse, fehlermeldung, folge, folgende, foren, funktioniert, kleine, meldung, nichts, problem, programme, rechts, search, sekunden, sicherheitscenter, starten., warnmeldung, wichtig, windows, windows 7, windows-sicherheitscenter, wirklich, ändern |
Linear-Darstellung
