Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   xpack.gen3 versteck Dateien/Festplatte beschädigt (https://www.trojaner-board.de/100266-xpack-gen3-versteck-dateien-festplatte-beschaedigt.html)

cosinus 14.06.2011 15:12
- Virenscanner ist abgestellt?
- Qoobox mal komplett auf den Desktop kopieren und dann vom Desktop aus packen

brote 14.06.2011 15:17
Ja alles aus.
1.erstellt der jedes Mal vor dem Kopieren nen neuen Ordner der Qoobox heißt und fragt mich dann ob ich den ersetzen will weil der ja schon existiert.
2.sagt der mir jedes mal die Dateien wären schon vorhanden und ich muss die ersetzen
3.verweigert der den Zugriff auf ''env'' und meint ich hätte keine Administratorrechte, die ich aber habe...

cosinus 14.06.2011 15:19
Hm, dann pack mir mal bitte nur den Ordner C:\Qoobox\Quarantine und lad die ZIP bei uns hoch

brote 14.06.2011 15:25
ist oben...

cosinus 14.06.2011 15:29
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

brote 14.06.2011 15:52
GMER:
GMER Logfile:
Code:
GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-14 16:50:44
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 SAMSUNG_HM320JI rev.2SS00_01
Running: 0kv8n18s.exe; Driver: C:\Users\Benjamin\AppData\Local\Temp\uglcipow.sys


---- System - GMER 1.0.15 ----

SSDT            81F280D4                                                                                                ZwCreateThread
SSDT            81F280C0                                                                                                ZwOpenProcess
SSDT            81F280C5                                                                                                ZwOpenThread
SSDT            81F280CF                                                                                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                          8305E569 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                  83083092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          ntkrnlpa.exe!RtlSidHashLookup + 34C                                                                      8308A95C 4 Bytes  [D4, 80, F2, 81]
.text          ntkrnlpa.exe!RtlSidHashLookup + 4E8                                                                      8308AAF8 4 Bytes  [C0, 80, F2, 81]
.text          ntkrnlpa.exe!RtlSidHashLookup + 508                                                                      8308AB18 4 Bytes  [C5, 80, F2, 81]
.text          ntkrnlpa.exe!RtlSidHashLookup + 7B8                                                                      8308ADC8 4 Bytes  [CF, 80, F2, 81] {IRET ; XOR DL, 0x81}
.text          C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                section is writeable [0x91422340, 0x3EE217, 0xE8000020]
.text          autochk.exe                                                                                              006D11D2 1 Byte  [57]
.text          autochk.exe                                                                                              006D11D2 3 Bytes  [57, 00, 69]
.text          autochk.exe                                                                                              006D11D6 1 Byte  [6E]
.text          autochk.exe                                                                                              006D11D6 3 Bytes  [6E, 00, 64]
.text          autochk.exe                                                                                              006D11DA 1 Byte  [6F]
.text          ...                                                                                                     

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Windows\system32\rundll32.exe[1312] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\system32\rundll32.exe[1312] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]    [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\system32\rundll32.exe[1312] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]  [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\system32\rundll32.exe[1312] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3356] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3356] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]    [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3356] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]  [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3356] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                          [74922494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                    [74905624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                    [749056E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                          [7492250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                [74918573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                  [74914D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                  [749150CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                [749151A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]        [749166D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                  [749182CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]            [74918819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]          [7491907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                [7491E21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3524] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                    [74914C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3616] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3616] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]    [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3616] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]  [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3616] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [75BB5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000054                                                                        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001fcf40ac41                             
Reg            HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001fcf40ac41@001b592ba390                0xD7 0xDF 0x08 0x94 ...
Reg            HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001fcf40ac41 (not active ControlSet)         
Reg            HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001fcf40ac41@001b592ba390                    0xD7 0xDF 0x08 0x94 ...

---- EOF - GMER 1.0.15 ----
--- --- ---


OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:56:28 on 14.06.2011

OS: Windows 7 Ultimate Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 4.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\Windows\system32\PhysX.cpl
"speech.cpl" - "Microsoft" - C:\Windows\system32\speech.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - D:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Benjamin\AppData\Local\Temp\catchme.sys  (File not found)
"FssFltr" (fssfltr) - "Microsoft Corporation" - C:\Windows\System32\DRIVERS\fssfltr.sys
"giveio" (giveio) - ? - C:\Windows\System32\giveio.sys  (File found, but it contains no detailed information)
"Huawei DataCard USB Fake" (hwusbfake) - ? - C:\Windows\System32\DRIVERS\ewusbfake.sys  (File not found)
"Huawei DataCard USB Modem and USB Serial" (hwdatacard) - "Huawei Technologies Co., Ltd." - C:\Windows\System32\DRIVERS\ewusbmdm.sys
"HUAWEI USB-NDIS miniport" (ewusbnet) - "Huawei Technologies Co., Ltd." - C:\Windows\System32\DRIVERS\ewusbnet.sys
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbam.sys
"Sftfs" (Sftfs) - "Microsoft Corporation" - C:\Windows\System32\DRIVERS\Sftfslh.sys
"Sftplay" (Sftplay) - "Microsoft Corporation" - C:\Windows\System32\DRIVERS\Sftplaylh.sys
"Sftredir" (Sftredir) - "Microsoft Corporation" - C:\Windows\System32\DRIVERS\Sftredirlh.sys
"Sftvol" (Sftvol) - "Microsoft Corporation" - C:\Windows\System32\DRIVERS\Sftvollh.sys
"speedfan" (speedfan) - "Almico Software" - C:\Windows\System32\speedfan.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\Windows\System32\drivers\truecrypt.sys
"uglcipow" (uglcipow) - ? - C:\Users\Benjamin\AppData\Local\Temp\uglcipow.sys  (Hidden registry entry, rootkit activity | File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{E02A8228-F6C3-4C13-BA53-6F1ACCAF746F} "AVS Video Converter" - ? - D:\PROGRA~2\AVS4YOU\AVSVID~1\AVSVID~1.DLL  (File found, but it contains no detailed information)
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - D:\Program Files\iTunes\iTunesMiniPlayer.dll
{0875DCB6-C686-4243-9432-ADCCF0B9F2D7} "Microsoft OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office14\ONFILTER.DLL
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - D:\Programme\Avira\AntiVir Desktop\shlext.dll
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - D:\Program Files\WinRAR\rarext.dll
{ABE00001-0123-ABED-1248-0248ADFA1909} "Zoom Player ShellExt" - ? -  (File not found | COM-object registry key not found)
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll
<binary data> "DAEMON Tools Toolbar" - ? - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - D:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - D:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - D:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - D:\Program Files\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Plug-In" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "DAEMON Tools Toolbar" - ? - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
AutorunsDisabled "AutorunsDisabled" - ? -  (File not found | COM-object registry key not found)
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - D:\Program Files\Java\jre6\bin\jp2ssv.dll
{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} "Search Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
{02478D38-C3F9-4efb-9B51-7695ECA05670} "{02478D38-C3F9-4efb-9B51-7695ECA05670}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Camfrog" - "Camshare Inc." - "D:\Program Files\Camfrog\Camfrog Video Chat\CamfrogNet.exe" 0 D:\Program Files\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
"DAEMON Tools Lite" - "DT Soft Ltd" - "D:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
"msnmsgr" - "Microsoft Corporation" - "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Application Virtualization Client" (sftlist) - "Microsoft Corporation" - C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
"Application Virtualization Service Agent" (sftvsa) - "Microsoft Corporation" - C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Desktop\sched.exe
"Client Virtualization Handler" (cvhsvc) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"getPlus(R) Helper 3004" (nosGetPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper_3004.dll
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Office  Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Office Software Protection Platform" (osppsvc) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
"Palm Novacom" (NovacomD) - "Palm" - C:\Program Files\Palm, Inc\novacom\x86\novacomd.exe
"SeaPort" (SeaPort) - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
"Sony Ericsson OMSI download service" (OMSI download service) - ? - D:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe  (File found, but it contains no detailed information)
"Windows Live Family Safety-Dienst" (fsssvc) - "Microsoft Corporation" - C:\Program Files\Windows Live\Family Safety\fsssvc.exe
"WTGService" (WTGService) - ? - D:\Program Files\Verbindungsassistent\wtgservice.exe  (File found, but it contains no detailed information)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 32-bit
Logical Drives Mask: 0x0001013c

Kernel Drivers (total 206):
0x8301B000 \SystemRoot\system32\ntkrnlpa.exe
0x8342B000 \SystemRoot\system32\halmacpi.dll
0x80BA7000 \SystemRoot\system32\kdcom.dll
0x8362F000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x836A7000 \SystemRoot\system32\PSHED.dll
0x836B8000 \SystemRoot\system32\BOOTVID.dll
0x836C0000 \SystemRoot\system32\CLFS.SYS
0x83702000 \SystemRoot\system32\CI.dll
0x88E04000 \SystemRoot\system32\drivers\Wdf01000.sys
0x88E75000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x88E83000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x88ECB000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x88ED4000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x88EDC000 \SystemRoot\system32\DRIVERS\pci.sys
0x88F06000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x88F11000 \SystemRoot\System32\drivers\partmgr.sys
0x88F22000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x88F2A000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x88F35000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x88F45000 \SystemRoot\System32\drivers\volmgrx.sys
0x88F90000 \SystemRoot\system32\DRIVERS\intelide.sys
0x88F97000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x88FA5000 \SystemRoot\System32\drivers\mountmgr.sys
0x88FBB000 \SystemRoot\system32\DRIVERS\atapi.sys
0x88FC4000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x88FE7000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x837AD000 \SystemRoot\system32\drivers\fltmgr.sys
0x837E1000 \SystemRoot\system32\drivers\fileinfo.sys
0x89028000 \SystemRoot\System32\Drivers\Ntfs.sys
0x89157000 \SystemRoot\System32\Drivers\msrpc.sys
0x89182000 \SystemRoot\System32\Drivers\ksecdd.sys
0x89195000 \SystemRoot\System32\Drivers\cng.sys
0x891F2000 \SystemRoot\System32\drivers\pcw.sys
0x89000000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x89232000 \SystemRoot\system32\drivers\ndis.sys
0x892E9000 \SystemRoot\system32\drivers\NETIO.SYS
0x89327000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x89402000 \SystemRoot\System32\drivers\tcpip.sys
0x8954B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8957C000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x89585000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x895C4000 \SystemRoot\System32\Drivers\spldr.sys
0x895CC000 \SystemRoot\system32\speedfan.sys
0x895D0000 \SystemRoot\system32\DRIVERS\sbp2port.sys
0x8934C000 \SystemRoot\System32\drivers\rdyboost.sys
0x895E8000 \SystemRoot\System32\Drivers\mup.sys
0x895F8000 \SystemRoot\System32\drivers\hwpolicy.sys
0x89400000 \SystemRoot\system32\giveio.sys
0x89379000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x893AB000 \SystemRoot\system32\DRIVERS\disk.sys
0x893BC000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x89009000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8921A000 \SystemRoot\System32\Drivers\Null.SYS
0x89221000 \SystemRoot\System32\Drivers\Beep.SYS
0x88FF0000 \SystemRoot\System32\drivers\vga.sys
0x83600000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x83621000 \SystemRoot\System32\drivers\watchdog.sys
0x89228000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x837F2000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8E621000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8E629000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8E634000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8E642000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8E659000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8E664000 \SystemRoot\system32\drivers\afd.sys
0x8E6BE000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8E6F0000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8E6F7000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8E716000 \SystemRoot\system32\DRIVERS\vpcnfltr.sys
0x8E726000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8E734000 \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
0x8E76F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8E782000 \SystemRoot\system32\drivers\vpcvmm.sys
0x8E7C9000 \SystemRoot\System32\drivers\truecrypt.sys
0x8E600000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8E610000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8E83D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8E87E000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8E888000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8E892000 \SystemRoot\System32\drivers\discache.sys
0x8E89E000 \SystemRoot\system32\drivers\csc.sys
0x8E902000 \SystemRoot\System32\Drivers\dfsc.sys
0x8E91A000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8E928000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8E944000 \??\D:\Programme\Avira\AntiVir Desktop\avgio.sys
0x8E946000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8E967000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8E979000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x91422000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x96815000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x968CC000 \SystemRoot\System32\drivers\dxgmms1.sys
0x96905000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x9690E000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x96A02000 \SystemRoot\system32\DRIVERS\netw5v32.sys
0x96E15000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x96E20000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x96E6B000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x96E7A000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x96EA6000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x96EF8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x96F10000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x96F1D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x96F2A000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x96F30000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x96F3D000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x96F4F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x96F67000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x96F72000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x96F94000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x96FAC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x96FC3000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x96FDA000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x96FE4000 \SystemRoot\system32\DRIVERS\seehcri.sys
0x96FEA000 \SystemRoot\system32\DRIVERS\swenum.sys
0x9692D000 \SystemRoot\system32\DRIVERS\ks.sys
0x96FEC000 \SystemRoot\system32\DRIVERS\umbus.sys
0x96961000 \SystemRoot\system32\DRIVERS\vpcusb.sys
0x96979000 \SystemRoot\system32\DRIVERS\usbrpm.sys
0x96FFA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x96986000 \SystemRoot\system32\DRIVERS\vpchbus.sys
0x969BC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x96800000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x97631000 \SystemRoot\system32\DRIVERS\smserial.sys
0x9773D000 \SystemRoot\system32\drivers\modem.sys
0x97A28000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x97D01000 \SystemRoot\system32\drivers\portcls.sys
0x97D30000 \SystemRoot\system32\drivers\drmk.sys
0x97D54000 \SystemRoot\system32\drivers\MODEMCSA.sys
0x97D5E000 \SystemRoot\System32\Drivers\crashdmp.sys
0x97D6B000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x97D76000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x97D7F000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x98E30000 \SystemRoot\System32\win32k.sys
0x97D90000 \SystemRoot\System32\drivers\Dxapi.sys
0x97D9A000 \SystemRoot\system32\DRIVERS\monitor.sys
0x99090000 \SystemRoot\System32\TSDDD.dll
0x990C0000 \SystemRoot\System32\cdd.dll
0x97DA5000 \SystemRoot\system32\drivers\luafv.sys
0x97DC0000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x97DD4000 \SystemRoot\system32\DRIVERS\Sftvollh.sys
0x97DDD000 \SystemRoot\system32\drivers\WudfPf.sys
0x97A00000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x97755000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x97A10000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9779B000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x91B55000 \SystemRoot\system32\drivers\HTTP.sys
0x977AE000 \SystemRoot\system32\DRIVERS\bowser.sys
0x977C7000 \SystemRoot\System32\drivers\mpsdrv.sys
0x977D9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x8E97D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x97600000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9BC16000 \SystemRoot\system32\drivers\peauth.sys
0x9BCAD000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9BCB7000 \SystemRoot\system32\DRIVERS\Sftfslh.sys
0x9BD43000 \SystemRoot\system32\DRIVERS\Sftplaylh.sys
0x9BD79000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9BD9A000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9BDA7000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9C019000 \SystemRoot\System32\DRIVERS\srv.sys
0x9C06B000 \SystemRoot\system32\DRIVERS\Sftredirlh.sys
0x9C074000 \SystemRoot\system32\drivers\spsys.sys
0x9C0DE000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9C0F4000 \??\C:\Windows\system32\drivers\mbam.sys
0x9C150000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9C167000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x9C17E000 \SystemRoot\system32\DRIVERS\WinUSB.sys
0x9C1A8000 \??\C:\Users\Benjamin\AppData\Local\Temp\uglcipow.sys
0x77B70000 \Windows\System32\ntdll.dll
0x48040000 \Windows\System32\smss.exe
0x77DB0000 \Windows\System32\apisetschema.dll
0x006D0000 \Windows\System32\autochk.exe
0x77D10000 \Windows\System32\oleaut32.dll
0x77AF0000 \Windows\System32\comdlg32.dll
0x77CB0000 \Windows\System32\difxapi.dll
0x77A50000 \Windows\System32\advapi32.dll
0x778F0000 \Windows\System32\ole32.dll
0x778E0000 \Windows\System32\psapi.dll
0x77810000 \Windows\System32\user32.dll
0x777D0000 \Windows\System32\ws2_32.dll
0x77690000 \Windows\System32\urlmon.dll
0x77630000 \Windows\System32\shlwapi.dll
0x77610000 \Windows\System32\imm32.dll
0x775C0000 \Windows\System32\Wldap32.dll
0x775B0000 \Windows\System32\lpk.dll
0x77500000 \Windows\System32\rpcrt4.dll
0x77460000 \Windows\System32\usp10.dll
0x77410000 \Windows\System32\gdi32.dll
0x773E0000 \Windows\System32\imagehlp.dll
0x771E0000 \Windows\System32\iertutil.dll
0x77110000 \Windows\System32\msctf.dll
0x77100000 \Windows\System32\normaliz.dll
0x77070000 \Windows\System32\clbcatq.dll
0x76FC0000 \Windows\System32\msvcrt.dll
0x76EC0000 \Windows\System32\wininet.dll
0x76EB0000 \Windows\System32\nsi.dll
0x76D10000 \Windows\System32\setupapi.dll
0x76C30000 \Windows\System32\kernel32.dll
0x75FE0000 \Windows\System32\shell32.dll
0x75FC0000 \Windows\System32\sechost.dll
0x75F90000 \Windows\System32\wintrust.dll
0x75F40000 \Windows\System32\KernelBase.dll
0x75F20000 \Windows\System32\devobj.dll
0x75EF0000 \Windows\System32\cfgmgr32.dll
0x75E60000 \Windows\System32\comctl32.dll
0x75D40000 \Windows\System32\crypt32.dll
0x75D30000 \Windows\System32\msasn1.dll

Processes (total 53):
0 System Idle Process
4 System
276 C:\Windows\System32\smss.exe
404 csrss.exe
452 C:\Windows\System32\wininit.exe
464 csrss.exe
508 C:\Windows\System32\services.exe
540 C:\Windows\System32\winlogon.exe
560 C:\Windows\System32\lsass.exe
568 C:\Windows\System32\lsm.exe
684 C:\Windows\System32\svchost.exe
768 C:\Windows\System32\nvvsvc.exe
804 C:\Windows\System32\svchost.exe
888 C:\Windows\System32\svchost.exe
936 C:\Windows\System32\svchost.exe
984 C:\Windows\System32\svchost.exe
1128 C:\Windows\System32\svchost.exe
1312 C:\Windows\System32\rundll32.exe
1332 C:\Windows\System32\svchost.exe
1508 C:\Windows\System32\svchost.exe
1600 C:\Windows\System32\spoolsv.exe
1632 D:\Programme\Avira\AntiVir Desktop\sched.exe
1652 D:\Programme\Avira\AntiVir Desktop\avguard.exe
1892 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1916 C:\Program Files\Bonjour\mDNSResponder.exe
1952 C:\Windows\System32\svchost.exe
2004 C:\Program Files\Palm, Inc\novacom\x86\novacomd.exe
108 D:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
308 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
1480 C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
1404 C:\Windows\System32\svchost.exe
2080 D:\Program Files\Verbindungsassistent\WTGService.exe
2132 C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
2500 C:\Windows\System32\taskhost.exe
2928 C:\Program Files\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
3028 C:\Windows\System32\sppsvc.exe
3096 C:\Windows\System32\svchost.exe
3356 C:\Windows\System32\rundll32.exe
3500 C:\Windows\System32\dwm.exe
3524 C:\Windows\explorer.exe
3616 C:\Windows\System32\rundll32.exe
3684 C:\Program Files\Windows Sidebar\sidebar.exe
884 C:\Program Files\Windows Media Player\wmpnetwk.exe
3768 C:\Windows\System32\svchost.exe
2984 D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
3820 C:\Windows\System32\svchost.exe
1212 C:\Windows\System32\audiodg.exe
4092 D:\Program Files\Mozilla Firefox\firefox.exe
4064 D:\Program Files\Mozilla Firefox\plugin-container.exe
3004 C:\Users\Benjamin\Desktop\osam\osam.exe
2188 C:\Users\Benjamin\Desktop\MBRCheck.exe
1396 C:\Windows\System32\conhost.exe
2348 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`007e0000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006`40100000 (NTFS)
\\.\Q: --> error 5

PhysicalDrive0 Model Number: SAMSUNGHM320JI, Rev: 2SS00_01

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

brote 14.06.2011 17:26
Achja was ich noch sagen wollte:
Der eine Trojaner war anscheinend nicht der einzige, der hat wohl noch irgendeinen gefunden der Banker heißt oder so.
Gibts vielleicht noch ein paar Tips für eine gute Abwehr solcher Biester, damit ich mir nicht nochmal das System zerschieße und euch unnötig Arbeit bereite?=)
Ich bin immernoch begeistert wie schnell ihr das hier alles abhandelt! Respekt von meiner Seite aus! :)

cosinus 14.06.2011 19:03
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Zitat:
Gibts vielleicht noch ein paar Tips für eine gute Abwehr solcher Biester, damit ich mir nicht nochmal das System zerschieße und euch unnötig Arbeit bereite?=)
Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Sucunia PSI
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

brote 14.06.2011 20:32
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6842

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.06.2011 21:27:03
mbam-log-2011-06-14 (21-27-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|Q:\|)
Durchsuchte Objekte: 348035
Laufzeit: 56 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 14.06.2011 21:19
Zitat:
Datenbank Version: 6842
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

brote 14.06.2011 21:35
Oh, dachte das hätte ich heute Mittag schon gemacht!
Dann folgt heute noch Superantispyware und der Rest morgen!

brote 14.06.2011 22:49
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/14/2011 at 11:43 PM

Application Version : 4.54.1000

Core Rules Database Version : 7264
Trace Rules Database Version: 5076

Scan type : Complete Scan
Total Scan Time : 02:06:17

Memory items scanned : 703
Memory threats detected : 0
Registry items scanned : 9626
Registry threats detected : 0
File items scanned : 170647
File threats detected : 9

Adware.Tracking Cookie
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@atdmt.combing[2].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@fastclick[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@bs.serving-sys[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@atdmt[2].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@serving-sys[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@doubleclick[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@smartadserver[2].txt
www.naiadsystems.com [ C:\Users\Benjamin\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\NUJZS23T ]
www.pornhub.com [ C:\Users\Benjamin\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\NUJZS23T ]

Und ja ich weiß was da steht :blabla:

brote 15.06.2011 07:33
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6859

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.06.2011 08:31:45
mbam-log-2011-06-15 (08-31-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|Q:\|)
Durchsuchte Objekte: 348590
Laufzeit: 1 Stunde(n), 8 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich bekam aber eine Trojaner-Benachrichtigung von Avira an der genau der Stelle, wo Malwarbytes gerade suchte, ist das normal?

cosinus 15.06.2011 09:24
Zitat:
Ich bekam aber eine Trojaner-Benachrichtigung von Avira an der genau der Stelle, wo Malwarbytes gerade suchte, ist das normal?
Wenn du AntiVir an lässt und es an der Stelle was findet, was soll daran so überraschend sein?
Ich versteh nur nicht warum du die Meldung nicht detailiert postest.

brote 15.06.2011 09:29
Weil Malwarebytes an der Stelle nichts gefunden hatte.
Avira schaltet sich ständig von selbst wieder ein.
Ich hab grad nochmal geschaut, eigentlich steht da auch deaktiviert...
Meldung:
In der Datei 'D:\Program Files\Kopie von Warcraft III\SetupReg.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

ESET läuft aktuell noch, müsste aber gleich fertig sein!


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:36 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131