Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert!

BMX-er · 28.01.2011, 12:04

Moin,

Ich weiß, wie Ihr zu solchen Systemen steht!
Dennoch würde ich gerne mal probieren den PC zu bereinigen. Nicht unbedingt um die Installation zu retten, ich würde es nur gerne mal durchspielen. (Wenn es euch nicht zu aufwendig ist)
Sollte es keinen Sinn machen, formatiere ich sofort und beherzige beim neu aufsetzen eure Installationsanweisungen.

Mit der Kaspersky Rescue Disc habe ich eine Bereinigung durchgeführt.

Anhang 12856

Das sah zwar gut aus, aber der Trojaner aktiviert sich irgendwann wieder.

Hier die Log-Files:

Defogger Anhang 12857
GMER Anhang 12858
MBAM nach Bereinigung durch KRD! Anhang 12859
OTL Anhang 12860 Anhang 12861

cosinus · 28.01.2011, 19:59

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

BMX-er · 29.01.2011, 11:34

Moin,

Leider habe ich kein MBAM-log, in dem alle Funde protokolliert sind. In diesen beiden Logs sind nur die Funde zusehen, nachdem sich der Trojaner reaktiviert hat.
Anhang 12901
Anhang 12902

Das vollständige Kaspersky-log hat deutlich mehr zu bieten.
Anhang 12904

Einen neuen Administrator habe ich bereits angelegt und dem alten die Berechtigungen genommen (ist nur noch ein Gast). Seid dem scheint der Trojaner sich nicht wieder zu aktivieren. Ich war mal etwas waghalsig und habe mit dem alten Admin alle möglichen Programme gestartet. MBAM finden im Moment nix.
Anhang 12903

cosinus · 30.01.2011, 13:34

Zitat:

D:/Dokumente und Einstellungen/Admin/Desktop/IllustratorCS5.zip

Was genau ist das und aus welcher Quelle stammt es?

BMX-er · 30.01.2011, 16:40

Moin,

das ist eine 30 Tage Testversion, von Softonic.
Quelle: hxxp://www.softonic.de/s/illustrator

Es ist übrigens der PC eines Freundes, der mich gebeten hat ihn zu bereinigen.
Ich war auch nicht glücklich, als ich dass gesehen habe. Er hat sich dort auch das gesammte "Packet" abgeholt. Damit meine ich:
Illustrator_Downloader.exe
Illustrator.zip
sowie die Softonic-TB in den IE und Firefox integriert.

Den gesammten Krempel habe ich softort gelöscht und Ihm Inkscape (Open Source) installiert.

Die Software illegal zu nutzen, traue ich Ihm aber nicht zu. Trau Ihm nichtmal zu, dass er das könnte.

cosinus · 30.01.2011, 20:21

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

BMX-er · 31.01.2011, 13:33

Oh, Oh!

Da hast du mich voll erwischt! Ich bin auch so'n Depp, der glaubt mit seinem Halbwissen was anstellen zu können.
ComboFix habe ich bereits ausgeführt, bevor du es sagtest. Ich Ohrfeige mich dafür mal selbst.

Tut mir echt leid, kommt nie wieder vor!

Wenigsten habe ich vorher die Anleitungen gelesen und es weitestgehend so gemacht, wie du sagtest. ComboFix habe ich aber beim Download nicht umbenannt.

Code:

ATTFilter

ComboFix 11-01-24.02 - Speedy 25.01.2011  11:01:35.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1024.735 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Speedy\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\install.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-25 bis 2011-01-25  ))))))))))))))))))))))))))))))
.

2011-01-25 08:27 . 2009-11-12 12:48	7168	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2011-01-25 00:24 . 2011-01-25 00:24	--------	d-----w-	d:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2011-01-25 00:24	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-25 00:24 . 2011-01-25 01:30	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2011-01-25 00:24 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-24 20:36 . 2011-01-24 22:12	--------	d-----w-	d:\dokumente und einstellungen\Kidz
2011-01-24 18:41 . 2011-01-25 09:49	--------	d-----w-	d:\dokumente und einstellungen\Speedy
2011-01-24 18:16 . 2011-01-24 18:16	--------	d-----w-	d:\dokumente und einstellungen\Admin\Anwendungsdaten\inkscape
2011-01-24 18:11 . 2011-01-24 18:15	--------	d-----w-	d:\programme\Inkscape
2011-01-24 15:52 . 2011-01-24 15:52	--------	d-----w-	d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 13:49 . 2010-10-05 19:26	109240	----a-w-	d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-01-24 13:49 . 2010-10-05 19:27	150200	----a-w-	d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-01-24 13:49 . 2011-01-24 14:00	97859	----a-w-	c:\windows\system32\drivers\klick.dat
2011-01-24 13:49 . 2011-01-24 14:00	114243	----a-w-	c:\windows\system32\drivers\klin.dat
2011-01-24 13:48 . 2011-01-25 10:07	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2011-01-24 13:48 . 2011-01-24 13:48	--------	d-----w-	d:\programme\Kaspersky Lab
2011-01-24 12:30 . 2011-01-24 12:30	--------	d-----w-	d:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 11:04 . 2011-01-24 11:04	--------	d-----w-	d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Research In Motion
2011-01-24 10:58 . 2008-11-07 17:55	16928	------w-	c:\windows\system32\spmsgXP_2k3.dll
2011-01-20 15:51 . 2011-01-23 11:26	--------	d-----w-	d:\programme\Panda Security
2011-01-09 09:46 . 2011-01-23 11:43	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-01-09 09:46 . 2011-01-23 11:41	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\REPORTS
2011-01-09 09:46 . 2011-01-23 11:41	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\LOGFILES
2011-01-09 09:46 . 2011-01-09 09:46	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\INFECTED
2011-01-03 19:15 . 2011-01-03 19:16	--------	d-----w-	d:\programme\Gemeinsame Dateien\Adobe
2011-01-03 18:52 . 2011-01-25 01:15	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
.

------- Sigcheck -------

[-] 2009-10-15 . 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-10-15 . 91748F4D122DCA4CF7A9D621CDD02345 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="d:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 102400]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 11:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]
S1 DumpDrv;Crash Dump Driver; [x]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows\System32\svchost.exe -k WinRM [15.10.2009 12:42 14848]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HELPSVC
*NewlyCreated* - WUAUSERV

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Inhalt des "geplante Tasks" Ordners

2011-01-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
FF - ProfilePath - d:\dokumente und einstellungen\Speedy\Anwendungsdaten\Mozilla\Firefox\Profiles\3bcvepj4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.heise.de
FF - Ext: Anti-Banner: KavAntiBanner@Kaspersky.ru - d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Modul zur Link-Untersuchung: linkfilter@kaspersky.ru - d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
Toolbar-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-25 11:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(752)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
d:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
d:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
d:\programme\Bonjour\mDNSResponder.exe
d:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wscntfy.exe
d:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-25  11:13:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-25 10:13

Vor Suchlauf: 3 Verzeichnis(se), 14.664.806.400 Bytes frei
Nach Suchlauf: 4 Verzeichnis(se), 14.552.444.928 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30

- - End Of File - - BBFCF865F299C990B87E15690222D69A

Und nu der dicke Hund! Ich hab es bereits zweimal laufen lassen.

Code:

ATTFilter

ComboFix 11-01-24.02 - Speedy 25.01.2011  20:24:35.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1024.695 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Speedy\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-25 bis 2011-01-25  ))))))))))))))))))))))))))))))
.

2011-01-25 08:27 . 2009-11-12 12:48	7168	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2011-01-25 00:24 . 2011-01-25 00:24	--------	d-----w-	d:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2011-01-25 00:24	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-25 00:24 . 2011-01-25 01:30	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2011-01-25 00:24 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-24 20:36 . 2011-01-24 22:12	--------	d-----w-	d:\dokumente und einstellungen\Kidz
2011-01-24 18:41 . 2011-01-25 18:16	--------	d-----w-	d:\dokumente und einstellungen\Speedy
2011-01-24 18:16 . 2011-01-24 18:16	--------	d-----w-	d:\dokumente und einstellungen\Admin\Anwendungsdaten\inkscape
2011-01-24 18:11 . 2011-01-24 18:15	--------	d-----w-	d:\programme\Inkscape
2011-01-24 15:52 . 2011-01-24 15:52	--------	d-----w-	d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 13:49 . 2010-10-05 19:26	109240	----a-w-	d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-01-24 13:49 . 2010-10-05 19:27	150200	----a-w-	d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-01-24 13:49 . 2011-01-24 14:00	97859	----a-w-	c:\windows\system32\drivers\klick.dat
2011-01-24 13:49 . 2011-01-24 14:00	114243	----a-w-	c:\windows\system32\drivers\klin.dat
2011-01-24 13:48 . 2011-01-25 19:11	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2011-01-24 13:48 . 2011-01-24 13:48	--------	d-----w-	d:\programme\Kaspersky Lab
2011-01-24 12:30 . 2011-01-24 12:30	--------	d-----w-	d:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 11:04 . 2011-01-24 11:04	--------	d-----w-	d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Research In Motion
2011-01-24 10:58 . 2008-11-07 17:55	16928	------w-	c:\windows\system32\spmsgXP_2k3.dll
2011-01-20 15:51 . 2011-01-23 11:26	--------	d-----w-	d:\programme\Panda Security
2011-01-09 09:46 . 2011-01-23 11:43	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-01-09 09:46 . 2011-01-23 11:41	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\REPORTS
2011-01-09 09:46 . 2011-01-23 11:41	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\LOGFILES
2011-01-09 09:46 . 2011-01-09 09:46	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\INFECTED
2011-01-03 19:15 . 2011-01-03 19:16	--------	d-----w-	d:\programme\Gemeinsame Dateien\Adobe
2011-01-03 18:52 . 2011-01-25 19:01	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
.

------- Sigcheck -------

[-] 2009-10-15 . 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-10-15 . 91748F4D122DCA4CF7A9D621CDD02345 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="d:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"avp"="d:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-11-02 365336]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 102400]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 11:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]
S1 DumpDrv;Crash Dump Driver; [x]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows\System32\svchost.exe -k WinRM [15.10.2009 12:42 14848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Inhalt des "geplante Tasks" Ordners

2011-01-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
FF - ProfilePath - d:\dokumente und einstellungen\Speedy\Anwendungsdaten\Mozilla\Firefox\Profiles\3bcvepj4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.heise.de
FF - Ext: Anti-Banner: KavAntiBanner@Kaspersky.ru - d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Modul zur Link-Untersuchung: linkfilter@kaspersky.ru - d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-25 20:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2844)
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2011-01-25  20:31:50
ComboFix-quarantined-files.txt  2011-01-25 19:31

Vor Suchlauf: 3 Verzeichnis(se), 14.787.108.864 Bytes frei
Nach Suchlauf: 4 Verzeichnis(se), 14.779.666.432 Bytes frei

- - End Of File - - E5606AD6B4ECCE4C6E6CD1419A05D5B6

Seid dem habe ich ComboFix nicht noch mal gestartet. Hätte ich das getan, wäre das ja der dritte Start ohne Anleitung, da du von meinen ersten beiden waghalsigen Durchläufen ja nichts wusstest.
Hoffentlich habe ich Glück und es dadurch nicht schlimmer gemacht oder dir die Arbeit erschwert!

Nochmals, "Sorry that!"

cosinus · 31.01.2011, 14:14

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

BMX-er · 31.01.2011, 15:33

Moin,

hier die gewünschten Logfiles.

GMER - Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-31 14:56:18
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ExcelStor_Technology_J680 rev.V32OA60A
Running: g2m3e4r.exe; Driver: D:\Temp\uxtdypob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwAdjustPrivilegesToken [0xB6FAD5FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwClose [0xB6FADEFE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwConnectPort [0xB6FAED32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateEvent [0xB6FAF27C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateFile [0xB6FAE1DA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateKey [0xB6FAC46A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateMutant [0xB6FAF162]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateNamedPipeFile [0xB6FAD1E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreatePort [0xB6FAF036]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSection [0xB6FAD390]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSemaphore [0xB6FAF39C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateThread [0xB6FADB86]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateWaitablePort [0xB6FAF0CC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDebugActiveProcess [0xB6FB0A84]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteKey [0xB6FACA74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteValueKey [0xB6FACE28]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeviceIoControlFile [0xB6FAE65C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDuplicateObject [0xB6FB1C90]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateKey [0xB6FACF74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateValueKey [0xB6FAD00C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwFsControlFile [0xB6FAE46A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadDriver [0xB6FB0B76]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey [0xB6FAC446]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey2 [0xB6FAC458]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwMapViewOfSection [0xB6FB12DE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwNotifyChangeKey [0xB6FAD138]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenEvent [0xB6FAF312]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenFile [0xB6FADF80]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenKey [0xB6FAC62A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenMutant [0xB6FAF1F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenProcess [0xB6FAD836]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSection [0xB6FB1078]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSemaphore [0xB6FAF432]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenThread [0xB6FAD728]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryKey [0xB6FAD0A4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryMultipleValueKey [0xB6FACCDC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQuerySection [0xB6FB1618]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryValueKey [0xB6FAC906]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueueApcThread [0xB6FB0F0A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRenameKey [0xB6FACB96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplaceKey [0xB6FABE80]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyPort [0xB6FAF796]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyWaitReceivePort [0xB6FAF65C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRequestWaitReplyPort [0xB6FB081E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRestoreKey [0xB6FAC1F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwResumeThread [0xB6FB1B32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKey [0xB6FABE18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSecureConnectPort [0xB6FAEA78]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetContextThread [0xB6FADDA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetInformationToken [0xB6FB00BE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetSecurityObject [0xB6FB0D14]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetSystemInformation [0xB6FB1768]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetValueKey [0xB6FAC780]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendProcess [0xB6FB185A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendThread [0xB6FB1994]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSystemDebugControl [0xB6FB09A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateProcess [0xB6FAD9D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateThread [0xB6FAD932]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwUnmapViewOfSection [0xB6FB14BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwWriteVirtualMemory [0xB6FADABC]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwYieldExecution + 1FA                                                    804E4A34 12 Bytes  [76, 0B, FB, B6, 46, C4, FA, ...]
.text           ntoskrnl.exe!ZwYieldExecution + 376                                                    804E4BB0 16 Bytes  [96, CB, FA, B6, 80, BE, FA, ...]
.text           ntoskrnl.exe!ZwYieldExecution + 3BE                                                    804E4BF8 4 Bytes  JMP FC4FB6FA 
.text           ntoskrnl.exe!ZwYieldExecution + 46A                                                    804E4CA4 12 Bytes  [5A, 18, FB, B6, 94, 19, FB, ...]
.text           ntoskrnl.exe!IoIsOperationSynchronous                                                  804EAFAE 5 Bytes  JMP B6FA03C8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntoskrnl.exe!FsRtlCheckLockForReadAccess                                               804F4593 5 Bytes  JMP B6F9FFEC \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\ipsec.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                [F7051D50] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                [F7051D50] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]                   [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]                      [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]                   [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]                     [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]                     [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\rspndr.sys[ntoskrnl.exe!IoCreateDevice]                   [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]                   [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]                   [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]                      [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]                   [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]                 [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice]                     [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]                   [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                               kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

---- EOF - GMER 1.0.15 ----

OSAM - Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:08:14 on 31.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - D:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"wuaucpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - D:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\system32\drivers\Aspi32.sys
"catchme" (catchme) - ? - D:\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Crash Dump Driver" (DumpDrv) - ? - C:\WINDOWS\system32\drivers\DumpDrv.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"TCP/IP-Protokolltreiber" (Tcpip) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\tcpip.sys
"uxtdypob" (uxtdypob) - ? - D:\Temp\uxtdypob.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - D:\Programme\7-Zip\7-zip.dll
{5F327514-6C5E-4d60-8F16-D07FA08A78ED} "Auto Update Property Sheet Extension" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - D:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
{CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - D:\Dokumente und Einstellungen\Speedy\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "D:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avp" - "Kaspersky Lab ZAO" - "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
"FreePDF Assistant" - "shbox.de" - D:\Programme\FreePDF_XP\fpassist.exe
"iTunesHelper" - "Apple Inc." - "D:\Programme\iTunes\iTunesHelper.exe"
"QuickTime Task" - "Apple Inc." - "D:\Programme\QuickTime\QTTask.exe" -atboottime

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatische Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - D:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - D:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jqs.exe
"Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
"NMSAccess" (NMSAccess) - ? - D:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"klogon" - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\klogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - D:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

MBRCheck -Logfile:

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 120):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x80700000 \WINDOWS\system32\hal.dll
  0xF7C0C000 \WINDOWS\system32\KDCOM.DLL
  0xF7B1C000 \WINDOWS\system32\BOOTVID.dll
  0xF76BC000 ACPI.sys
  0xF7C0E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF76AB000 pci.sys
  0xF770C000 isapnp.sys
  0xF7CD4000 pciide.sys
  0xF798C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF771C000 MountMgr.sys
  0xF768C000 ftdisk.sys
  0xF7C10000 dmload.sys
  0xF7666000 dmio.sys
  0xF7994000 PartMgr.sys
  0xF772C000 VolSnap.sys
  0xF764E000 atapi.sys
  0xF773C000 disk.sys
  0xF774C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF762E000 fltMgr.sys
  0xF761C000 sr.sys
  0xF7605000 KSecDD.sys
  0xF7578000 Ntfs.sys
  0xF754B000 NDIS.sys
  0xF775C000 uagp35.sys
  0xF7531000 Mup.sys
  0xF700F000 kl1.sys
  0xF77CC000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF6F00000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF6EEC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF6ED8000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF77DC000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7BA8000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF77EC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF79DC000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF77FC000 \SystemRoot\system32\DRIVERS\klmouflt.sys
  0xF79E4000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7BAC000 \SystemRoot\system32\DRIVERS\gameenum.sys
  0xF780C000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF781C000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF6E93000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF79EC000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xF782C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF6E05000 \SystemRoot\system32\drivers\smwdm.sys
  0xF6DE1000 \SystemRoot\system32\drivers\portcls.sys
  0xF783C000 \SystemRoot\system32\drivers\drmk.sys
  0xF7C18000 \SystemRoot\system32\drivers\aeaudio.sys
  0xF79F4000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF6DBD000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF79FC000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF7A04000 \SystemRoot\system32\DRIVERS\sisnic.sys
  0xF784C000 \SystemRoot\system32\DRIVERS\klim5.sys
  0xF7D0A000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7C1A000 \SystemRoot\System32\Drivers\RootMdm.sys
  0xF7A0C000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF785C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7BBC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6DA6000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF786C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF787C000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7A14000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF6D94000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF788C000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7A1C000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7A24000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF7A2C000 \SystemRoot\system32\DRIVERS\RimSerial.sys
  0xF6CC4000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF789C000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7C1C000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6C3E000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7BD8000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF78AC000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF78FC000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7C20000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB6F81000 \SystemRoot\system32\DRIVERS\klif.sys
  0xF6FEB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7D8B000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7C22000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7A4C000 \SystemRoot\System32\drivers\vga.sys
  0xF7C24000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7C26000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7A54000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7A5C000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF6FE7000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF7A64000 \SystemRoot\system32\DRIVERS\kl2.sys
  0xB6F26000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB6ECD000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB6EA7000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB6E7F000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF790C000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB6E5D000 \SystemRoot\System32\drivers\afd.sys
  0xF791C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB6E0A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB6D9A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF792C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF6CA8000 \SystemRoot\System32\Drivers\Aspi32.SYS
  0xF797C000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB6CE2000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7C34000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF6C16000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7A74000 \SystemRoot\System32\watchdog.sys
  0xBF9C6000 \SystemRoot\System32\drivers\dxg.sys
  0xF7E0B000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D8000 \SystemRoot\System32\ati2dvag.dll
  0xBFA0E000 \SystemRoot\System32\ati2cqag.dll
  0xBFA46000 \SystemRoot\System32\ati3duag.dll
  0xBFC14000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB6BD6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB6CFA000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0xB6946000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF7CA0000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB68A4000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB638F000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB69CA000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB60C8000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB5F85000 \SystemRoot\system32\drivers\kmixer.sys
  0xB5E55000 \??\D:\Temp\uxtdypob.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 26):
       0 System Idle Process
       4 System
     716 C:\WINDOWS\system32\smss.exe
     764 csrss.exe
     788 C:\WINDOWS\system32\winlogon.exe
     832 C:\WINDOWS\system32\services.exe
     844 C:\WINDOWS\system32\lsass.exe
     996 C:\WINDOWS\system32\svchost.exe
    1116 svchost.exe
    1156 C:\WINDOWS\system32\svchost.exe
    1300 svchost.exe
    1328 svchost.exe
    1500 C:\WINDOWS\system32\BRSVC01A.EXE
    1524 C:\WINDOWS\system32\BRSS01A.EXE
    1536 C:\WINDOWS\system32\spoolsv.exe
    1596 svchost.exe
    1632 D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    1684 D:\Programme\Bonjour\mDNSResponder.exe
    1744 D:\Programme\CDBurnerXP\NMSAccessU.exe
     484 alg.exe
    2436 C:\WINDOWS\system32\wscntfy.exe
    2452 C:\WINDOWS\explorer.exe
    2540 D:\Programme\FreePDF_XP\fpassist.exe
    2564 D:\Programme\iTunes\iTunesHelper.exe
    2880 D:\Programme\iPod\bin\iPodService.exe
    1772 D:\Dokumente und Einstellungen\Speedy\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`0092e600  (NTFS)

PhysicalDrive0 Model Number: ExcelStorTechnologyJ680, Rev: V32OA60A

      Size  Device Name          MBR Status
  --------------------------------------------
     76 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Ist es dir eigentlich lieber den Code zu posten oder ist es auch ok die Logs als Text-File anzuhängen, wie ich es anfangs gemacht habe?

Grüsse

cosinus · 31.01.2011, 16:00

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

BMX-er · 31.01.2011, 17:28

Hey,

das sieht gut aus! Dank dir ganz, ganz herzlich für deine Hilfe und dem gesammten Team für dieses hervorragende Board.

MBAM habe ich heute Vormittag bereits laufen lassen. Denke mal das reicht, oder?

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5646

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31.01.2011 11:24:32
mbam-log-2011-01-31 (11-24-32).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 208312
Time elapsed: 58 minute(s), 58 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

SUPERAntiSpyware log

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 01/31/2011 bei 04:53 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6305
Version der Spur-Datenbank : 4117

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:39:39

Gescannte Speicherelemente  : 387
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5883
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 47944
Erfasste Datei-Elemente   : 0

cosinus · 31.01.2011, 19:14

Oh schön, keine Funde! Rechner wieder ok, läuft wieder alles wie es soll?

BMX-er · 31.01.2011, 21:36

Moin,

soweit sieht alles gut aus. Outlook kann nicht senden, da er das Passwort geändert hat, is klar. Word, Excel, Acrobat und Inkscape keine Probleme.
Online-Banking kann ich nicht testen, da es erst nach der Anmeldung aufgefallen ist. Ich hoffe mal er hat wirklich der Bank bescheid gesagt. Er hat zwar keine TAN's eingegeben aber die PIN sollte schon geändert werden, oder?

Beim Banking kam übrigen ein ungewöhnliches Fenster. Der Text im gebrochenem deutsch verfasst und "...scanne Vorgänge..."

Ich kann dem Account "Admin", zum Testen mal Administrations-Rechte geben. Als Gast hatte der Trojaner sich ja nicht wieder aktiviert. Dann noch mal scannen.

Das Firefox Add-on "NoScript" habe ich ihm noch installiert. Befürchte nur, das im das zu kompliziert ist.

Ich bin damit sehr glücklich das kann einen ne menge ärger ersparen.

Windows und IE muss ich noch updaten.

Grüße

cosinus · 31.01.2011, 21:48

Zitat:

Beim Banking kam übrigen ein ungewöhnliches Fenster. Der Text im gebrochenem deutsch verfasst und "...scanne Vorgänge..."

nach unserer ganzen Prozedur oder bevor du das Trojaner-Board aufgesucht hast?

Und ja, ohne NoScript (und Adblock+) mag ich auch nicht mehr surfen

BMX-er · 31.01.2011, 22:07

Bevor wir breinigt haben. Banking kann ich nur nicht Testen, da ich sein Passwort nicht kenne. Das Teste ich zusammen mit meinem Freund dann noch.

Ich spiele noch ein weilchen mit der Kiste rum, soweit sieht alles wunderbar aus.

31.01.2011, 16:00	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert! Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

31.01.2011, 19:14	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert! Oh schön, keine Funde! Rechner wieder ok, läuft wieder alles wie es soll? __________________ Logfiles bitte immer in CODE-Tags posten

Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert!

Plagegeister aller Art und deren Bekämpfung: Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert!