Trojaner-Board - TR/Rootkit.Gen & HTML/Infected.WebPage.Gen' & HEUR/HTML.Malware gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Rootkit.Gen & HTML/Infected.WebPage.Gen' & HEUR/HTML.Malware gefunden (https://www.trojaner-board.de/74055-tr-rootkit-gen-html-infected-webpage-gen-heur-html-malware-gefunden.html)

RSIT.exe war schneller als Antivir hier also nun die beiden Berichte von RSIT.exe. Leider weiß ich nicht wie man etwas minimiert darstellt, ich poste es daher wieder mit diesen Code Zeichen. Meinen Namen habe ich diesmal immer durch MUSTER ersetzt

Als erstes die log.txt

Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by MUSTER at 2009-06-13 16:05:49

Microsoft® Windows Vista™ Home Premium  Service Pack 1

System drive C: has 65 GB (29%) free of 227 GB

Total RAM: 3326 MB (64% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:06:23, on 13.06.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18248)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\ASUS\Six Engine\SixEngine.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Winamp\winampa.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Secunia\PSI\psi.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Daten\RSIT.exe

C:\Program Files\Trend Micro\HijackThis\MUSTER.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-2217025095-4060059928-118558843-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'premium')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe

O13 - Gopher Prefix: 

O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab

O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab

O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab

O16 - DPF: {F773E7B2-62A9-4524-9109-87D2F0BEFAA4} (ChessControl Class) - http://zone.msn.com/bingame/zpagames/zpa_kqrp.cab56961.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5AF86004-312D-409C-A044-2133DEDE4179}: NameServer = 217.0.43.81 217.0.43.65

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
 

--

End of file - 6937 bytes
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

AskBar BHO - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-06-12 41368]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Foxit Toolbar - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]

"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-05-20 6144000]

"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

"WinampAgent"=C:\Program Files\Winamp\winampa.exe [2009-03-09 37888]

"NvSvc"=C:\Windows\system32\nvsvc.dll [2008-06-18 551456]

"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-06-18 13535776]

"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-06-18 92704]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-06-12 148888]

"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2009-06-12 198160]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]

"Skype"=C:\Program Files\Skype\Phone\Skype.exe [2008-08-11 21741864]

"SUPERAntiSpyware"=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-26 1830128]
 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]

C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"EnableLUA"=0

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"EnableUIADesktopToggle"=0
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
 

======List of files/folders created in the last 1 months======
 

2009-06-13 16:05:49 ----D---- C:\rsit

2009-06-13 15:12:48 ----A---- C:\Windows\ntbtlog.txt

2009-06-13 15:00:14 ----D---- C:\Program Files\CCleaner

2009-06-12 14:50:19 ----D---- C:\ProgramData\SUPERAntiSpyware.com

2009-06-12 14:50:10 ----D---- C:\Program Files\SUPERAntiSpyware

2009-06-12 14:50:09 ----D---- C:\Users\MUSTER\AppData\Roaming\SUPERAntiSpyware.com

2009-06-12 04:18:58 ----D---- C:\Program Files\Secunia

2009-06-12 04:10:37 ----D---- C:\Program Files\Common Files\xing shared

2009-06-12 03:50:32 ----A---- C:\Windows\system32\javaws.exe

2009-06-12 03:50:32 ----A---- C:\Windows\system32\javaw.exe

2009-06-12 03:50:32 ----A---- C:\Windows\system32\java.exe

2009-06-12 03:48:31 ----D---- C:\ProgramData\McAfee

2009-06-12 03:46:09 ----D---- C:\Program Files\AskBarDis

2009-06-12 03:46:00 ----D---- C:\Users\MUSTER\AppData\Roaming\Foxit

2009-06-12 03:45:40 ----D---- C:\Program Files\Foxit Software

2009-06-12 02:27:47 ----D---- C:\Program Files\Trend Micro

2009-06-11 21:09:25 ----A---- C:\Windows\system32\localspl.dll

2009-06-11 21:09:24 ----A---- C:\Windows\system32\rpcrt4.dll

2009-06-11 21:09:21 ----A---- C:\Windows\system32\mshtml.dll

2009-06-11 21:09:20 ----A---- C:\Windows\system32\ieframe.dll

2009-06-11 21:09:19 ----A---- C:\Windows\system32\wininet.dll

2009-06-11 21:09:19 ----A---- C:\Windows\system32\urlmon.dll

2009-06-11 21:09:19 ----A---- C:\Windows\system32\msfeeds.dll

2009-06-11 21:09:19 ----A---- C:\Windows\system32\iertutil.dll

2009-06-11 21:09:19 ----A---- C:\Windows\system32\iedkcs32.dll

2009-06-11 21:09:18 ----A---- C:\Windows\system32\occache.dll

2009-06-11 21:09:18 ----A---- C:\Windows\system32\mstime.dll

2009-06-11 21:09:18 ----A---- C:\Windows\system32\jsproxy.dll

2009-06-11 21:09:18 ----A---- C:\Windows\system32\ieUnatt.exe

2009-06-11 21:09:18 ----A---- C:\Windows\system32\ieencode.dll

2009-06-11 21:09:18 ----A---- C:\Windows\system32\ieaksie.dll

2009-06-03 10:59:49 ----D---- C:\Users\MUSTER\AppData\Roaming\Download Manager
 

======List of files/folders modified in the last 1 months======
 

2009-06-13 16:06:15 ----D---- C:\Windows\Temp

2009-06-13 16:06:10 ----D---- C:\Users\MUSTER\AppData\Roaming\Skype

2009-06-13 16:06:01 ----D---- C:\Windows\Prefetch

2009-06-13 16:04:52 ----D---- C:\Daten

2009-06-13 16:00:10 ----D---- C:\Users\MUSTER\AppData\Roaming\skypePM

2009-06-13 15:58:02 ----D---- C:\Windows\System32

2009-06-13 15:58:02 ----A---- C:\Windows\system32\PerfStringBackup.INI

2009-06-13 15:51:05 ----D---- C:\Program Files\Mozilla Firefox

2009-06-13 15:22:36 ----D---- C:\Windows

2009-06-13 15:03:12 ----D---- C:\Windows\Minidump

2009-06-13 15:03:12 ----D---- C:\Windows\Debug

2009-06-13 15:00:14 ----RD---- C:\Program Files

2009-06-13 01:47:52 ----D---- C:\Poker

2009-06-12 15:37:51 ----D---- C:\Windows\system32\Macromed

2009-06-12 14:53:39 ----D---- C:\Windows\winsxs

2009-06-12 14:50:19 ----HD---- C:\ProgramData

2009-06-12 14:50:16 ----SHD---- C:\Windows\Installer

2009-06-12 14:50:16 ----HD---- C:\Config.Msi

2009-06-12 14:50:03 ----SHD---- C:\System Volume Information

2009-06-12 14:49:38 ----D---- C:\Program Files\Common Files\Wise Installation Wizard

2009-06-12 14:43:33 ----D---- C:\Windows\system32\catroot

2009-06-12 04:57:36 ----D---- C:\Program Files\Internet Explorer

2009-06-12 04:19:07 ----D---- C:\Windows\system32\Tasks

2009-06-12 04:18:58 ----D---- C:\Windows\system32\drivers

2009-06-12 04:11:07 ----A---- C:\Windows\cdplayer.ini

2009-06-12 04:10:37 ----D---- C:\Program Files\Common Files

2009-06-12 04:10:33 ----D---- C:\Program Files\Common Files\Real

2009-06-12 04:10:32 ----A---- C:\Windows\system32\rmoc3260.dll

2009-06-12 04:10:26 ----A---- C:\Windows\system32\pndx5032.dll

2009-06-12 04:10:26 ----A---- C:\Windows\system32\pndx5016.dll

2009-06-12 04:10:24 ----A---- C:\Windows\system32\pncrt.dll

2009-06-12 04:07:50 ----D---- C:\Program Files\Winamp

2009-06-12 03:51:32 ----D---- C:\QvodPlayer

2009-06-12 03:50:23 ----A---- C:\Windows\system32\deploytk.dll

2009-06-12 03:45:03 ----D---- C:\Program Files\Common Files\Adobe

2009-06-12 03:44:48 ----D---- C:\ProgramData\Adobe

2009-06-12 03:11:13 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-06-12 01:16:06 ----AD---- C:\ProgramData\TEMP

2009-06-11 21:09:13 ----D---- C:\Windows\system32\catroot2

2009-06-01 18:51:12 ----A---- C:\Windows\system32\mrt.exe

2009-05-23 01:35:00 ----A---- C:\ProgramData\sortedcards.tmp

2009-05-23 01:34:58 ----A---- C:\ProgramData\playercachelines.tmp

2009-05-14 03:00:18 ----D---- C:\Program Files\Windows Mail
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 AsIO;AsIO; C:\Windows\system32\drivers\AsIO.sys [2007-12-17 12400]

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [2009-05-27 11608]

R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-05-27 75096]

R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [2009-05-26 9968]

R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys [2009-05-26 72944]

R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]

R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2009-05-27 52056]

R3 Dot4;MS IEEE-1284.4-Treiber; C:\Windows\system32\DRIVERS\Dot4.sys [2008-01-21 131584]

R3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2008-01-21 16384]

R3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2008-01-21 36864]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-05-20 2143136]

R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x86.sys [2008-02-02 47616]

R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2006-10-18 7680]

R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-06-18 6954752]

R3 PSI;PSI; C:\Windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]

R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [2009-05-26 7408]

R3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]

R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]

S1 ntnus;ntnus; \??\C:\Windows\system32\drivers\ntnus.sys []

S3 61883;61883-Einheitsgerät; C:\Windows\system32\DRIVERS\61883.sys [2008-01-21 45696]

S3 Avc;AVC-Gerät; C:\Windows\system32\DRIVERS\avc.sys [2008-01-21 40448]

S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]

S3 ENTECH;ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.sys [2008-04-22 27672]

S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]

S3 MSDV;Microsoft DV Camera and VCR; C:\Windows\system32\DRIVERS\msdv.sys [2008-01-21 52608]

S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]

S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]

S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]

S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936]

S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]

S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]

R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]

R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\Windows\system32\svchost.exe [2008-01-21 21504]

R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-21 21504]

R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-06-18 122880]

R2 pgsql-8.3;PostgreSQL Database Server 8.3; C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe [2008-02-01 65536]

R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-21 21504]

R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2008-01-21 21504]
 

-----------------EOF-----------------

Nun die info.txt

Code:

info.txt logfile of random's system information tool 1.06 2009-06-13 16:06:24
 

======Uninstall list======
 

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0

-->MsiExec /X{45235788-142C-44BE-8A4D-DDE9A84492E5}

32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

AGEIA PhysX v7.09.13-->MsiExec.exe /X{45235788-142C-44BE-8A4D-DDE9A84492E5}

Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -l0x9  -removeonly

Audiograbber 1.83 SE -->"C:\Program Files\Audiograbber\Uninstall.exe"

Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"

DeepBurner v1.9.0.228-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log" -u

EPU-6 Engine-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{56B83336-FBC1-4C46-8613-90A9E3B440D6}\setup.exe" -l0x7 

Equilator-->MsiExec.exe /I{DD2ADC0E-300D-4155-A98D-1F078F087782}

FLV Player 2.0 (build 25)-->C:\Program Files\FLV Player\uninst.exe

Foxit Reader-->C:\Program Files\Foxit Software\Foxit Reader\Uninstall.exe

Foxit Toolbar-->"C:\Program Files\AskBarDis\unins000.exe"

Free Download Manager 2.5-->"C:\Program Files\Free Download Manager\unins000.exe"

Full Tilt Poker-->"C:\Program Files\InstallShield Installation Information\{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}\setup.exe" -runfromtemp -l0x0007 -removeonly

FUSSBALL MANAGER 09-->C:\Program Files\EA SPORTS\FUSSBALL MANAGER 09\eauninstall.exe

Futuremark SystemInfo-->C:\Program Files\InstallShield Installation Information\{BEE64C14-BEF1-4610-8A68-A16EAA47B882}\setup.exe -runfromtemp -l0x0009 -removeonly

Gimp 2.6.1-->"C:\Program Files\Gimp-2.0\setup\unins000.exe"

HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall

Holdem Manager-->MsiExec.exe /I{42DE940E-8037-4266-9FBF-5A3AEDA39E96}

HP Photosmart.All-In-One Driver Software 8.0 .A-->C:\Program Files\HP\Digital Imaging\{282E5AB2-8E47-4571-B6FA-6B512555B557}\setup\hpzscr01.exe -datfile hposcr18.dat -onestop -showdisconnect -forcereboot

IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe

Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF}

Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

marvell 61xx-->C:\Program Files\Marvell\61xx\uninst-61xx.exe

Microsoft Office 2000 Small Business-->MsiExec.exe /I{00030407-78E1-11D2-B60F-006097C998E7}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}

Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe

MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}

MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}

MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}

My Screen Recorder 2.65-->"C:\Program Files\Deskshare\My Screen Recorder\unins000.exe"

NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI

PartyPoker-->"C:\Programs\PartyGaming\PartyPoker\Uninstall.exe" "C:\Programs\PartyGaming\PartyPoker\install.log"

PokerStars-->"C:\Program Files\PokerStars\PokerStarsUninstall.exe" /u:PokerStars

PostgreSQL 8.3-->MsiExec.exe /I{B823632F-3B72-4514-8861-B961CE263224}

RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe"  -removeonly

Secunia PSI-->"C:\Program Files\Secunia\PSI\uninstall.exe"

Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}

SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}

TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"

Titan Poker-->"C:\Poker\Titan Poker\_SetupPoker.exe" /uninstall

VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe

Winamp-->"C:\Program Files\Winamp\UninstWA.exe"

Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

WinRAR-->C:\Program Files\WinRAR\uninstall.exe

World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
 

======Security center information======
 

AS: Windows Defender

AS: SUPERAntiSpyware
 

======System event log======
 

Computer Name: MUSTER-PC

Event Code: 7036

Message: Dienst "KtmRm für Distributed Transaction Coordinator" befindet sich jetzt im Status "Ausgeführt".

Record Number: 58217

Source Name: Service Control Manager

Time Written: 20090613135302.000000-000

Event Type: Informationen

User: 
 

Computer Name: MUSTER-PC

Event Code: 7036

Message: Dienst "TPM-Basisdienste" befindet sich jetzt im Status "Beendet".

Record Number: 58218

Source Name: Service Control Manager

Time Written: 20090613135302.000000-000

Event Type: Informationen

User: 
 

Computer Name: MUSTER-PC

Event Code: 7036

Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt".

Record Number: 58219

Source Name: Service Control Manager

Time Written: 20090613135302.000000-000

Event Type: Informationen

User: 
 

Computer Name: MUSTER-PC

Event Code: 537

Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.

Record Number: 58220

Source Name: Microsoft-Windows-TBS

Time Written: 20090613135302.839971-000

Event Type: Informationen

User: NT-AUTORITÄT\LOKALER DIENST
 

Computer Name: MUSTER-PC

Event Code: 7036

Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt".

Record Number: 58221

Source Name: Service Control Manager

Time Written: 20090613135338.000000-000

Event Type: Informationen

User: 
 

=====Application event log=====
 

Computer Name: MUSTER-PC

Event Code: 1

Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 15206

Source Name: SecurityCenter

Time Written: 20090613135306.000000-000

Event Type: Informationen

User: 
 

Computer Name: MUSTER-PC

Event Code: 3012

Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.

Record Number: 15207

Source Name: Microsoft-Windows-LoadPerf

Time Written: 20090613135759.000000-000

Event Type: Fehler

User: 
 

Computer Name: MUSTER-PC

Event Code: 3012

Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.

Record Number: 15208

Source Name: Microsoft-Windows-LoadPerf

Time Written: 20090613135759.000000-000

Event Type: Fehler

User: 
 

Computer Name: MUSTER-PC

Event Code: 3011

Message: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

Record Number: 15209

Source Name: Microsoft-Windows-LoadPerf

Time Written: 20090613135759.000000-000

Event Type: Fehler

User: 
 

Computer Name: MUSTER-PC

Event Code: 1000

Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.

Record Number: 15210

Source Name: Microsoft-Windows-LoadPerf

Time Written: 20090613135804.000000-000

Event Type: Informationen

User: 
 

=====Security event log=====
 

Computer Name: MUSTER-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys        

Record Number: 22083

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090613140620.733171-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: MUSTER-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys        

Record Number: 22084

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090613140620.748771-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: MUSTER-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys        

Record Number: 22085

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090613140620.764371-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: MUSTER-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys        

Record Number: 22086

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090613140620.779971-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: MUSTER-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys        

Record Number: 22087

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090613140620.811171-000

Event Type: Überwachung gescheitert

User: 
 

======Environment variables======
 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 7, GenuineIntel

"PROCESSOR_REVISION"=1707

"NUMBER_OF_PROCESSORS"=4

"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat

"DFSTRACINGON"=FALSE
 

-----------------EOF-----------------

In der ersten Datei exisitiert die Zeile:

S1 ntnus;ntnus; \??\C:\Windows\system32\drivers\ntnus.sys []

Ich weiß nicht was sie bedeutet aber sie enthällt die von Dir erwähnte Datei ntnus.sys.

Antivir läuft noch.

Nachtrag

Habe mal bei google "ntnus.sys" eingegeben, und es gibt auf dieser Welt keinen einzigen Beitrag/Link der "ntnus.sys" enthällt. Ob das jetzt gut oder schlecht ist, weiß ich nicht :(

Hier der Bericht von ANTIVIR mit aggressiven Einstellungen. Es wurden 2 mal nicht benötigte Casino/Poker Programme gefunden, die ich auch gleich in Quarantäne verschoben habe.

Code:


 
 

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Samstag, 13. Juni 2009  15:51
 

Es wird nach 1464231 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows Vista

Windowsversion:   (Service Pack 1)  [6.0.6001]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     MUSTER-PC
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.353      17048 Bytes  15.05.2009 12:02:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 21:58:00

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06

LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16

LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 15:37:04

ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 15:24:21

ANTIVIR2.VDF  : 7.1.4.87     2982912 Bytes  12.06.2009 15:55:22

ANTIVIR3.VDF  : 7.1.4.88        2048 Bytes  12.06.2009 15:55:22

Engineversion : 8.2.0.187 

AEVDF.DLL     : 8.1.1.1       106868 Bytes  01.05.2009 07:10:09

AESCRIPT.DLL  : 8.1.2.6       409978 Bytes  11.06.2009 15:51:54

AESCN.DLL     : 8.1.2.3       127347 Bytes  17.05.2009 21:49:50

AERDL.DLL     : 8.1.1.3       438645 Bytes  05.11.2008 21:57:01

AEPACK.DLL    : 8.1.3.18      401783 Bytes  27.05.2009 21:49:56

AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  27.02.2009 00:16:29

AEHEUR.DLL    : 8.1.0.131    1786232 Bytes  11.06.2009 15:51:52

AEHELP.DLL    : 8.1.3.6       205174 Bytes  11.06.2009 15:51:39

AEGEN.DLL     : 8.1.1.45      348532 Bytes  09.06.2009 15:48:30

AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 16:21:13

AECORE.DLL    : 8.1.6.12      180599 Bytes  27.05.2009 21:49:55

AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 16:21:11

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02

AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58

AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 20:13:27

AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, F:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Samstag, 13. Juni 2009  15:51
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '78455' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pg_ctl.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SixEngine.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '61' Prozesse mit '61' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Masterbootsektor HD2

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '46' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Daten\SetupPoker.exe

    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa7aff8.qua' verschoben!

C:\Poker\Titan Poker\_SetupPoker.exe

    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a98b0ff.qua' verschoben!

C:\Users\MUSTER\Documents\178.24_geforce_winvista_32bit_international_whql.exe.dlm

    [0] Archivtyp: CAB SFX (self extracting)

    --> \data1.hdr

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Suche in 'D:\'

Beginne mit der Suche in 'F:\' <TREKSTOR>
 
 

Ende des Suchlaufs: Samstag, 13. Juni 2009  16:46

Benötigte Zeit: 54:39 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  18159 Verzeichnisse wurden überprüft

 429188 Dateien wurden geprüft

      2 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      2 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 429184 Dateien ohne Befall

   4111 Archive wurden durchsucht

      4 Warnungen

      2 Hinweise

  78455 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Masterbootsektor HD1 -> [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Auch hier wieder diese Meldung und ich glaube HD1 Masterbootsektor ist auch der Schritt bei Dr. Web gewesen wo das Programm nicht weiterkam und hängenblieb.

Okay, das mit DrWeb und der Meldung ist erstmal nicht so wichtig. Können wir uns später drum kümmern, wenn du wieder internet hast.

1. Lade bitte die Datei bei Virustotal.com hoch und poste das gesamte Egebnis.

Code:

C:\Windows\system32\drivers\ntnus.sys

S1 bedeutet, das dieser Treiber als Systemdatei gestartet wird, aber derzeit nicht läuft. Deshalb S = Stopped und 1=System

2. Fixen mit HijackThis: (Bei Vista, rechte Maustaste und als Administrator ausführen)

HijackThis starten und “Do a system scan only”
Markiere nun folgene Einträge

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe

O13 - Gopher Prefix: 

O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab

O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab

O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab

O16 - DPF: {F773E7B2-62A9-4524-9109-87D2F0BEFAA4} (ChessControl Class) - http://zone.msn.com/bingame/zpagames/zpa_kqrp.cab56961.cab

Klicke jetzt auf “Fix checked”

3. Lade dir PrevX und führe es aus.
Wenn der Scan fertig ist und er etwas gefunden hat, dann sag bescheid.

4. Avira Antivir 9 von Avira laden.
Deine Version scheint noch die 8er zu sein. Am besten die aktuelle deinstallieren und eine neue Installieren.

Die Zeit für die Hilfe nehme ich mir gerne, also kein Problem :)

mfg, Kaos

Kann die Datei C:\Windows\system32\drivers\ntnus.sys nicht finden, ahbe auch bei Orderoptionen eingestellt dass er mir auch alle Systemdatein anzeigen soll.

Ja nochmal alles kontrolliert diese Datei existiert nicht auf meinem Rechner :( Komisch... Evtl. hat sie Antivir mitweggemacht? Damit wäre das Problem dann gelöst oder?

Möglicherweise ist sie so nicht sichtbar.

Starte bitte Gmer.

1. Wenn Gmer geöffnet ist klicke oben auf den Reiter >>> (Neben Rootkit/Malware)
2. Wähle dort Files an.
3. Gehe dort zu dem Ordner C:\Windows\System32\Drivers
4. Wähle die ntnus.sys an
5. Klicke rechts auf Copy und speichere sie als ntnus.sys auf dem Desktop
6. Lade die Datei vom Desktop bei Virustotal hoch.

mfg, Kaos

Falls die Datei bei Gmer auch nicht zu finden ist, dann hole sie aus der Quarantäne von Avira

1. Starte Avira und klicke auf Verwaltung. Die Quarantäne sollte bereits geöffnet sein.
2. Wähle die Datei ntnus.sys mit der rechten Maustaste an und wähle "Objekt wiederherstellen nach"
3. Speichere sie auf den Desktop als ntnus.vir und lade sie bei Virustotal.com hoch

mfg, Kaos

Bei GMer nicht zu finden.

Hab sie mit AVIRA wiederhergestllt dann AVIRA geschlossen (weil sonst sofort der Virus wieder da war und behandelt werden musste) und sie dann hochgeladen und hier das Ergebnis:

Code:

 File ntnus.vir received on 2009.06.13 23:54:58 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 5/39 (12.83%)
 

        

Antivirus         Version         Last Update         Result

a-squared        4.5.0.18        2009.06.13        -

AhnLab-V3        5.0.0.2        2009.06.13        -

AntiVir        7.9.0.187        2009.06.12        TR/Rootkit.Gen

Antiy-AVL        2.0.3.1        2009.06.12        -

Authentium        5.1.2.4        2009.06.13        -

Avast        4.8.1335.0        2009.06.13        -

AVG        8.5.0.339        2009.06.13        -

BitDefender        7.2        2009.06.14        Gen:Rootkit.Heur.D1827D2D2D

CAT-QuickHeal        10.00        2009.06.13        -

ClamAV        0.94.1        2009.06.13        -

Comodo        1327        2009.06.14        -

DrWeb        5.0.0.12182        2009.06.14        -

eSafe        7.0.17.0        2009.06.11        -

eTrust-Vet        31.6.6556        2009.06.12        -

F-Prot        4.4.4.56        2009.06.13        -

F-Secure        8.0.14470.0        2009.06.13        -

Fortinet        3.117.0.0        2009.06.14        -

GData        19        2009.06.14        Gen:Rootkit.Heur.D1827D2D2D

Ikarus        T3.1.1.59.0        2009.06.13        -

K7AntiVirus        7.10.762        2009.06.12        -

Kaspersky        7.0.0.125        2009.06.14        -

McAfee        5645        2009.06.13        -

McAfee+Artemis        5645        2009.06.13        -

McAfee-GW-Edition        6.7.6        2009.06.13        Trojan.Rootkit.Gen

Microsoft        1.4701        2009.06.13        -

NOD32        4153        2009.06.14        -

Norman        6.01.09        2009.06.12        -

nProtect        2009.1.8.0        2009.06.13        -

Panda        10.0.0.14        2009.06.13        -

PCTools        4.4.2.0        2009.06.12        -

Prevx        3.0        2009.06.14        -

Rising        21.33.52.00        2009.06.13        -

Sophos        4.42.0        2009.06.13        Sus/DrvDrop-A

Sunbelt        3.2.1858.2        2009.06.13        -

Symantec        1.4.4.12        2009.06.14        -

TheHacker        6.3.4.3.345        2009.06.13        -

TrendMicro        8.950.0.1092        2009.06.12        -

VBA32        3.12.10.7        2009.06.13        -

ViRobot        2009.6.13.1785        2009.06.13        -

Additional information

File size: 483844 bytes

MD5...: 9d414751fada518ba2e435d02c3390cc

SHA1..: c917a2d73735f050fcbc19a6f0e03e0b34ed924d

SHA256: 4a5a8a7dbb3c7db5e10c1f87c6882de51ee383e4b4446cd694b61e07592634e1

ssdeep: -

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0xe000

timedatestamp.....: 0x49b52101 (Mon Mar 09 14:00:33 2009)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x9086 0x9200 6.53 1788f01c9d234b55cc04788ea0b0a702

.rdata 0xb000 0x1434 0x1600 3.82 c5067c0cd6edcb981ce7b10fa8e2d1bd

.data 0xd000 0x4a4 0x200 0.42 a5a086615d589beaef37f7754a36376d

INIT 0xe000 0x6bc 0x800 4.90 fa478f7f8065ed27346195fcb2fcaedc

.reloc 0xf000 0xada 0xc00 5.71 f57b2d679eeb47c3f696325814e7e35d
 

( 2 imports )

> ntoskrnl.exe: DbgPrint, ObReferenceObjectByHandle, ObOpenObjectByName, RtlInitUnicodeString, ExRaiseStatus, ExAllocatePoolWithTag, ExFreePoolWithTag, RtlCopyUnicodeString, ZwQueryInformationProcess, wcslen, RtlCompareUnicodeString, KeReleaseMutex, KeWaitForSingleObject, ZwSetInformationProcess, ZwDuplicateToken, ZwOpenProcessToken, ZwOpenProcess, ZwEnumerateKey, ZwDeleteKey, ZwOpenKey, wcsncat, wcscat, ZwLoadDriver, ZwSetValueKey, ZwCreateKey, IoDeleteDevice, RtlImageDirectoryEntryToData, KeDetachProcess, KeAttachProcess, PsLookupProcessByProcessId, ZwAllocateVirtualMemory, ZwOpenFile, wcscpy, ObfDereferenceObject, ZwQueryInformationThread, ZwQuerySystemInformation, memmove, wcscmp, wcsncpy, _local_unwind2, KeServiceDescriptorTable, KeInitializeMutex, ZwReadFile, ZwCreateFile, ZwSetInformationFile, ZwWriteFile, ZwQueryInformationFile, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, ZwQueryValueKey, IofCompleteRequest, RtlImageNtHeader, IoCreateSymbolicLink, IoCreateDevice, swprintf, SeCreateClientSecurity, KeGetCurrentThread, ZwMapViewOfSection, ZwCreateSection, ZwUnmapViewOfSection, KeTickCount, KeBugCheckEx, ZwClose, _except_handler3, wcsncmp

> HAL.dll: KfRaiseIrql, KfLowerIrql, KeGetCurrentIrql
 

( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

packers (Kaspersky): PE_Patch

Ich habe natürlich AVIRA gleich wieder aktiviert und die Datei in Quarantäne verschoben.

Die Einträge die Du unter Punkt 2 auf der vorigen Seite erwähnt hast habe ich gefixt mit dem HijackThis Programm.

Punkt 3 habe ich auch gemacht, d.h. Prevx 3.0 runtergeladen und scannen lassen, Ergebnis war Systemstatus Clean und er hat nichts gefunden.

Jetzt musst Du nur noch sagen, es ist alles in Ordnung (oder es scheint alles in Ordnung zu sein) und dann kann ich mein problem als gelöst betrachten. Ich weiß nicht ob ich bis morgen 8:50 Uhr nochmal reinschaue aber möchte auch wenn ich mich wiederhole nochmal ausdrücklich meinen Dank aussprechen, weil ich mich bei Dir sicher aufgehoben fühlen konnte und ich durch Deine Hinweise ein ganzes Stück gelernt habe was Sicherheit angeht (wie Programmupdates, die ganzen Analyseprogramme usw.).
Wenn ich es nicht schaffe nochmal bis 08:50 reinzuschauen dann mache ich dies am 21.06 wieder wenn ich wieder zu Hause bin, derzeit ist der Rechner sowieso aus und es kann nichts passieren.

Gut, ich würde sagen, du bist soweit sauber. Was jetzt noch fehlt ist ein wenig aufräumarbeit. Aber das kann man auch machen, wenn du wieder zurück bist. Melde dich dann einfach nochmal hier, ich schaue regelmässig im Forum vorbei.

Eine paar Sachen kannst du jetzt noch machen, wenn du willst.

1. ntnus-Treibereintrag entfernen: (Falls der Eintrag dort zu finden ist, sonst machen wir es später anders

1. Windowstaste + R und dort "devmgmt.msc" eingeben.
2. In dem Gerätemanager auf "Ansicht" und bei "Ausgeblendete Geräte Anzeigen" einen Haken setzen.
3. "Nicht-PnP-Treiber" anwählen und dort nach Ntnus suchen und deinstallieren.

2. Programme Deinstallieren:

1. Möglichst alle Toolbars und zwar unter Systemsteuerung -> Software und im Firefox.
2. Software, die wir benutzt haben. (Malwarebytes kannst du drauflassen, ebenso Hijackthis).
3. Alles andere, was du nicht mehr brauchst ;)

3. Einfach ein wenig aufräumen und optimieren.

Bei Gelegenheit kannst du dir auch mal diesen Link über Sicherheit durchlesen. Dort stehen die wohl wichtigsten Dinge. (Online-Armor kann man meiner Meinung nach allerdings auch weglassen).

mfg, Kaos

Vielen Dank Kaos für Deine Mühe ich bin wieder zurück und total erleichtert dass mein Rechner scheinbar sauber ist. Werde Deinen Link heute oder morgen durchlesen sowie die Toolbars entfernen. Die Tools lasse ich natürlich drauf und den Link zu diesem Thread auch, so kann ich im Bedarfsfall erstmal alles abarbeiten was Du mir empfohlen hast, bevor ich wieder jemanden Zeit koste.

Nochmal vielen herzlichen Dank Kaos!

Wünsche Dir alles Gute.

Kein Problem, ich helfe immer gerne.

Hast du den ntnus Treibereintrag entfernen können?

mfg, Kaos