Trojaner-Board - TR/Trash.Gen und Internet getrennt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Trash.Gen und Internet getrennt (https://www.trojaner-board.de/82546-tr-trash-gen-internet-getrennt.html)

TR/Trash.Gen und Internet getrennt

Hallo, ich habe seid ein paar Tagen Probleme mit Schadsoftware. Aufgefallen ist mir das ganze , da neuerdings meine Internetverbindung eigenständig getrennt wird. Nach Neustart und mehreren Versuchen kann ich diese zwar revidieren aber nach einiger Zeit wird saie wieder getrennt. Also hab ich ich auf die suche gemacht. Hardware konnte ich schnell ausschliessen. Also habe ich über AV
dieses gefunden:1. TR/Dldr.WMA.Wima.AJ, 2.EXP/ASF.GetCodec.Gen
3.TR/Trash.Gen. Ich habe die Dateien in quarantäne verschoben und gelöscht.
Zusätzlich habe ich Malwarebytes laufen lassen und dieses gefunden:
*:\ToolsundTreiber\Software\vtl-bf2k.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ich habe das Board durchsucht und nach Anleitungen gesucht welche "exakt"auf mein Problem hinarbeiten, habe allerdings nichts wirklich vergleichbares gefunden und daher Teile zusammengestellt. Unter anderem habe ich auch GMER probiert was allerdings zu einem Bluesceen geführt hat und zwar 2mal an der selben Stelle. AV und Malwarebytes haben nun keinen Befund mehr aber mein INetproblem besteht weiter. Ich habe die einzelnen Probleme gegoogelt und vor allem hier im Board gesucht .Ich wäre sehr dankbar wenn sich jemand dieses Problems annehmen könnte.

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:09:09, on 03.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O3 - Toolbar: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips...an-canvasx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1248958301468
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CEF241-137B-48D8-8C0B-D4236C794014}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1ca1e9e1039e098) (gupdate1ca1e9e1039e098) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Anmerken sollte ich noch das trotz beschreibungen in denen dies verlangt war ich mich nicht in der Lage sehe den AV auszuschalten. Der Verweigert mir auf der ganzen linie den Zugriff zum abschalten.

Ich hoffe ich habe alle Regeln befolgt und jemand kann mir weiterhelfen.
Danke und MfG

Ich bin noch eine liste durchgegangen und reiche nach:
VOM ccLEANER.
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Ungültiges Standardsymbol C:\Programme\Zone Labs\ZoneAlarm\UpdClient.exe,-279 HKCR\ZAMailSafe\DefaultIcon

Von Malwarebytes:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3677
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.02.2010 11:34:36
mbam-log-2010-02-03 (11-34-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 231309
Laufzeit: 59 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile of random's system information tool 1.06 (written by random/random)
Run by gg at 2010-02-03 19:21:32
Microsoft Windows XP Professional Service Pack 2
System drive C: has 10 GB (30%) free of 32 GB
Total RAM: 2815 MB (85% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:42, on 03.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\gg\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\trend micro\gg.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O3 - Toolbar: Suche Deutschland Toolbar - {937f343c-c9c2-4235-b544-7fc4da2f2594} - C:\Programme\Suche_Deutschland\tbSuc0.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C3356AB9-115F-43A3-875A-0E8DB4D6CE6A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips...an-canvasx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1248958301468
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CEF241-137B-48D8-8C0B-D4236C794014}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1ca1e9e1039e098) (gupdate1ca1e9e1039e098) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6019 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Driver Robot.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-07-15 1586472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{937f343c-c9c2-4235-b544-7fc4da2f2594}]
Suche Deutschland Toolbar - C:\Programme\Suche_Deutschland\tbSuc0.dll [2009-11-07 2166296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{937f343c-c9c2-4235-b544-7fc4da2f2594} - Suche Deutschland Toolbar - C:\Programme\Suche_Deutschland\tbSuc0.dll [2009-11-07 2166296]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]
"nwiz"=C:\Programme\NVIDIA Corporation\nView\nwiz.exe [2009-07-08 1657376]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-07-14 13877248]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-07-14 86016]
"GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-26 31016]
"CmUsbSound"=RunDll32 cmcnfgu.cpl,CMICtrlWnd []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-08-04 18702336]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe [2005-09-03 94208]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Programme\DAEMON Tools Lite\daemon.exe -autorun []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\System32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [2008-07-02 397312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Steam\Steam.exe [2009-10-24 1217808]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^2Mega Camera Manager Monitor.lnk]
C:\PROGRA~1\MD40323\ICON.EXE [2003-06-11 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Steam\steamapps\common\left 4 dead\left4dead.exe"="C:\Programme\Steam\steamapps\common\left 4 dead\left4dead.exe:*:Enabled:Left 4 Dead"
"D:\Steam\steamapps\common\left 4 dead\left4dead.exe"="D:\Steam\steamapps\common\left 4 dead\left4dead.exe:*:Enabled:Left 4 Dead"
"D:\Steam\steamapps\common\left 4 dead 2\left4dead2.exe"="D:\Steam\steamapps\common\left 4 dead 2\left4dead2.exe:*:Enabled:Left 4 Dead 2"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-02-03 19:21:34 ----D---- C:\Programme\trend micro
2010-02-03 19:21:32 ----D---- C:\rsit
2010-02-03 11:46:36 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2010-02-02 18:49:46 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\SUPERAntiSpyware.com
2010-02-02 18:49:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-02-02 14:06:10 ----D---- C:\Programme\TrendMicro
2010-02-02 11:26:54 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Malwarebytes
2010-02-02 11:26:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-02 11:26:46 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-02-02 10:44:34 ----D---- C:\Programme\CCleaner
2010-01-18 16:27:26 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Mozilla
2010-01-18 16:27:14 ----D---- C:\Programme\Mozilla Firefox

======List of files/folders modified in the last 1 months======

2010-02-03 19:21:42 ----D---- C:\WINDOWS\Prefetch
2010-02-03 19:21:34 ----RD---- C:\Programme
2010-02-03 19:21:34 ----D---- C:\WINDOWS\Internet Logs
2010-02-03 18:16:32 ----D---- C:\WINDOWS\Temp
2010-02-03 17:44:06 ----D---- C:\WINDOWS\Minidump
2010-02-03 17:44:06 ----D---- C:\WINDOWS
2010-02-03 17:19:32 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-03 17:17:44 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-02-03 17:05:41 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\vlc
2010-02-03 11:54:15 ----D---- C:\WINDOWS\system32
2010-02-03 11:46:50 ----HD---- C:\WINDOWS\inf
2010-02-03 11:46:46 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-03 11:46:27 ----HD---- C:\WINDOWS\$hf_mig$
2010-02-02 14:06:11 ----SHD---- C:\WINDOWS\Installer
2010-02-02 14:06:11 ----SD---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Microsoft
2010-02-02 12:47:45 ----A---- C:\WINDOWS\NeroDigital.ini
2010-02-02 12:31:48 ----D---- C:\WINDOWS\system32\drivers
2010-02-02 12:31:48 ----D---- C:\WINDOWS\Help
2010-02-02 10:47:00 ----D---- C:\WINDOWS\Debug
2010-02-02 00:26:41 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\Skype
2010-02-02 00:04:46 ----D---- C:\Dokumente und Einstellungen\gg\Anwendungsdaten\skypePM

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2009-02-13 45416]
R1 avipbb;avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 SASDIFSV;SASDIFSV; \??\C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-11 55656]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-18 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-08-05 5874176]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-07-14 7741664]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-02-17 34176]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-02-17 13056]
R3 seehcri;Sony Ericsson seehcri Device Driver; C:\WINDOWS\System32\DRIVERS\seehcri.sys [2008-01-09 27632]
R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys []
S1 InCDRm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys []
S1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-03 40192]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 Ca100v;2Mega Camera, WDM Video Capture; C:\WINDOWS\System32\Drivers\Ca100v.sys [2002-09-01 516635]
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmudau;C-Media USB Sound Interface; C:\WINDOWS\system32\drivers\cmudau.sys [2005-06-09 1383104]
S3 epmntdrv;epmntdrv; \??\C:\WINDOWS\system32\epmntdrv.sys []
S3 EuGdiDrv;EuGdiDrv; \??\C:\WINDOWS\system32\EuGdiDrv.sys []
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM); C:\WINDOWS\System32\DRIVERS\s0017bus.sys [2008-05-27 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter; C:\WINDOWS\System32\DRIVERS\s0017mdfl.sys [2008-05-27 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver; C:\WINDOWS\System32\DRIVERS\s0017mdm.sys [2008-05-27 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM); C:\WINDOWS\System32\DRIVERS\s0017mgmt.sys [2008-05-27 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS); C:\WINDOWS\System32\DRIVERS\s0017nd5.sys [2008-05-27 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface; C:\WINDOWS\System32\DRIVERS\s0017obex.sys [2008-05-27 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM); C:\WINDOWS\System32\DRIVERS\s0017unic.sys [2008-05-27 117672]
S3 s117bus;Sony Ericsson Device 117 driver (WDM); C:\WINDOWS\System32\DRIVERS\s117bus.sys [2007-06-25 82984]
S3 s117mdfl;Sony Ericsson Device 117 USB WMC Modem Filter; C:\WINDOWS\System32\DRIVERS\s117mdfl.sys [2007-06-25 14888]
S3 s117mdm;Sony Ericsson Device 117 USB WMC Modem Driver; C:\WINDOWS\System32\DRIVERS\s117mdm.sys [2007-06-25 108456]
S3 s117mgmt;Sony Ericsson Device 117 USB WMC Device Management Drivers (WDM); C:\WINDOWS\System32\DRIVERS\s117mgmt.sys [2007-06-25 100264]
S3 s117nd5;Sony Ericsson Device 117 USB Ethernet Emulation SEMC117 (NDIS); C:\WINDOWS\System32\DRIVERS\s117nd5.sys [2007-06-25 22952]
S3 s117obex;Sony Ericsson Device 117 USB WMC OBEX Interface; C:\WINDOWS\System32\DRIVERS\s117obex.sys [2007-06-25 98344]
S3 s117unic;Sony Ericsson Device 117 USB Ethernet Emulation SEMC117 (WDM); C:\WINDOWS\System32\DRIVERS\s117unic.sys [2007-06-25 98856]
S3 SASENUM;SASENUM; \??\C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USBCamera;DSC Still Image Capture (CA100); C:\WINDOWS\System32\Drivers\Bulk100.sys [2002-07-28 10986]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-07-14 168004]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
S2 gupdate1ca1e9e1039e098;Google Update Service (gupdate1ca1e9e1039e098); C:\Programme\Google\Update\GoogleUpdate.exe [2009-08-16 133104]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-26 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

-----------------EOF-----------------

Hallo, nach 10maligem lesen habe ich nun feststellen müssen das ich eine Regel verletzt habe. Ich habe links in meinen Texten welche nicht editiert sind. Wie kann ich diese nachträglich editieren, oder anders gefragt wie muss ich mich jetzt verhalten damit ich möglicherweise doch eine Antwort erhalte?

Hi, wenn du noch da bist :)

Ein Thread kann schon mal übersehen werden, kann passieren.

So, ein sauberes Log von Malwarebytes ist zwar schön und gut, interressant ist aber eigentlich das mit Fund(en). Bitte nachreichen, wenn es geht. Dasselbe gilt für die Funde deines AV-Programms.

Da GMER nicht will, lass bitte folgende Programme nacheinander laufen:

1.
Rootkitscan mit RootRepeal

- Lade den Scanner hier herunter:
RootRepeal - RootRepeal - Rootkit Detector
- scrolle runter und downloade RootRepeal.zip.
- Trenne deinen Computer vom Internet
- Deaktiviere dein Firewall und Antivirenprogramm (in deinem Fall wird's wohl nicht gehen, trotzdem weitermachen)
- Entpacke die Datei auf Deinen Desktop.
- Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
- Klicke auf den Reiter Report und dann auf den Button Scan.
- Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
- Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
- Wähle C:\ und klicke wieder Ok.
- Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
- Bitte wärend des Scans nicht am Computer arbeiten!
- Wenn der Suchlauf beendet ist, klicke auf Save Report.
- Speichere das Logfile als RootRepeal.txt auf dem Desktop.
- Kopiere den Inhalt hier in den Thread.
- Aktiviere Antivirenprogramm wieder.

2.
Lade dir bitte den Rootkit Buster von Trend Micro herunter -> entpacken -> ausführen -> Scan Now
Nach dem Scan auf "Ja" -> Das Log wird angezeigt -> Log hier posten.

Hallo, ich freu mich das jemand da ist und bedanke mich für die Antwort.

Ich poste erstmal das Malwb. mit Fund. Die scans mache ich nachher.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3677
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02.02.2010 12:29:29
mbam-log-2010-02-02 (12-29-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 230145
Laufzeit: 1 hour(s), 0 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\ToolsundTreiber\Software\vtl-bf2k.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Scans folgen.

So ich hab jetzt einen scan durchlaufen lassen mitRootrep. Das Prog. hat allerdings einen MBR Readfile Error ausgelöst. error Code = 0x17

Hier das Log:
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/02/05 21:47
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB274E000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xB861E000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xAF98B000 Size: 49152 File Visible: No Signed: -
Status: -

Name: srescan.sys
Image Path: srescan.sys
Address: 0xB7CC2000 Size: 81920 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 031 Function Name: NtConnectPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf040

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bb930

#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xb872c7c6

#: 046 Function Name: NtCreatePort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf510

#: 047 Function Name: NtCreateProcess
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5870

#: 048 Function Name: NtCreateProcessEx
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5aa0

#: 050 Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c8fd0

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xb872c7bc

#: 056 Function Name: NtCreateWaitablePort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf600

#: 062 Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bbf20

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xb872c7cb

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xb872c7d5

#: 068 Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5580

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xb872c7da

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bbd70

#: 122 Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5350

#: 128 Function Name: NtOpenThread
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5150

#: 192 Function Name: NtRenameKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c8250

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xb872c7e4

#: 200 Function Name: NtRequestWaitReplyPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bec00

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xb872c7df

#: 210 Function Name: NtSecureConnectPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bf220

#: 224 Function Name: NtSetInformationFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28bc120

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xb872c7d0

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb28c5cd0

==EOF==

AV Berichte Chronologisch

In der Datei 'F:\Favoriten\MSN\Neuer Ordner\***.mp3
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.WMA.Wima.AJ' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'F:\Favoriten\MSN\Neuer Ordner\***.mp3
wurde ein Virus oder unerwünschtes Programm 'EXP/ASF.GetCodec.Gen' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'F:\Favoriten\MSN\Neuer Ordner\***.mp3
wurde ein Virus oder unerwünschtes Programm 'EXP/ASF.GetCodec.Gen' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'D:\System Volume Information\_restore{95550236-C0CC-4D22-A944-D7820D8FBF4A}\RP143\A0040209.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'D:\System Volume Information\_restore{95550236-C0CC-4D22-A944-D7820D8FBF4A}\RP143\A0040209.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\DOKUME~1\gg\LOKALE~1\Temp\SAS_SelfExtract\Quarantine\Quarantine - 02-02-2010 - 19-15-08\{A61F9766-7B6F-4D26-9FC1-BC8513D02B48}'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. Februar 2010 23:55

Es wird nach 1727978 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LALA-BMJ3OQWC6N

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.1.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 17:05:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 17:05:21
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:05:00
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.1.2010 19:01:40
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.1.2010 18:08:40
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.1.2010 18:08:40
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.1.2010 18:08:40
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.1.2010 18:08:41
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.1.2010 18:08:41
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.1.2010 18:30:53
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.1.2010 18:30:53
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.1.2010 18:30:53
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.1.2010 18:42:17
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.1.2010 18:42:17
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.1.2010 18:42:17
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.1.2010 18:01:51
VBASE015.VDF : 7.10.3.149 79872 Bytes 1.2.2010 10:36:53
VBASE016.VDF : 7.10.3.174 68608 Bytes 3.2.2010 17:50:16
VBASE017.VDF : 7.10.3.199 76800 Bytes 4.2.2010 17:50:17
VBASE018.VDF : 7.10.3.200 2048 Bytes 4.2.2010 17:50:17
VBASE019.VDF : 7.10.3.201 2048 Bytes 4.2.2010 17:50:17
VBASE020.VDF : 7.10.3.202 2048 Bytes 4.2.2010 17:50:17
VBASE021.VDF : 7.10.3.203 2048 Bytes 4.2.2010 17:50:17
VBASE022.VDF : 7.10.3.204 2048 Bytes 4.2.2010 17:50:17
VBASE023.VDF : 7.10.3.205 2048 Bytes 4.2.2010 17:50:17
VBASE024.VDF : 7.10.3.206 2048 Bytes 4.2.2010 17:50:17
VBASE025.VDF : 7.10.3.207 2048 Bytes 4.2.2010 17:50:17
VBASE026.VDF : 7.10.3.208 2048 Bytes 4.2.2010 17:50:17
VBASE027.VDF : 7.10.3.209 2048 Bytes 4.2.2010 17:50:17
VBASE028.VDF : 7.10.3.210 2048 Bytes 4.2.2010 17:50:18
VBASE029.VDF : 7.10.3.211 2048 Bytes 4.2.2010 17:50:18
VBASE030.VDF : 7.10.3.212 2048 Bytes 4.2.2010 17:50:18
VBASE031.VDF : 7.10.3.213 20992 Bytes 4.2.2010 17:50:18
Engineversion : 8.2.1.158
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.1.2010 18:04:39
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 3.2.2010 10:37:09
AESCN.DLL : 8.1.4.0 127348 Bytes 27.1.2010 18:45:15
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 17:05:22
AERDL.DLL : 8.1.3.4 479605 Bytes 1.12.2009 19:18:36
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.1.2010 17:58:34
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.7.2009 08:59:39
AEHEUR.DLL : 8.1.1.4 2326899 Bytes 3.2.2010 10:37:07
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.1.2010 17:58:23
AEGEN.DLL : 8.1.1.86 369012 Bytes 3.2.2010 10:36:58
AEEMU.DLL : 8.1.1.0 393587 Bytes 3.10.2009 17:18:07
AECORE.DLL : 8.1.11.1 184694 Bytes 3.2.2010 10:36:56
AEBB.DLL : 8.1.0.3 53618 Bytes 9.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 8.9.2009 16:10:58
AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.5.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 17:05:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 4. Februar 2010 23:55

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '7397' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
D:\ToolsundTreiber\Software\Druckshop Visitkarten 2.0 (Full)\druckshop visitenkarten 2.0.exe
[0] Archivtyp: CAB SFX (self extracting)
--> \Disk1\DATA\cliparts\Allgemein\wmf\013.wmf
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\'

Ende des Suchlaufs: Freitag, 5. Februar 2010 00:59
Benötigte Zeit: 1:03:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5790 Verzeichnisse wurden überprüft
367077 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
367076 Dateien ohne Befall
13685 Archive wurden durchsucht
3 Warnungen
1 Hinweise
7397 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. Februar 2010 21:42

Es wird nach 1727978 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Abgesicherter Modus
Benutzername : Administrator
Computername : LALA-BMJ3OQWC6N

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.1.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 17:05:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 17:05:21
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:05:00
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.1.2010 19:01:40
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.1.2010 18:08:40
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.1.2010 18:08:40
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.1.2010 18:08:40
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.1.2010 18:08:41
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.1.2010 18:08:41
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.1.2010 18:30:53
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.1.2010 18:30:53
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.1.2010 18:30:53
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.1.2010 18:42:17
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.1.2010 18:42:17
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.1.2010 18:42:17
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.1.2010 18:01:51
VBASE015.VDF : 7.10.3.149 79872 Bytes 1.2.2010 10:36:53
VBASE016.VDF : 7.10.3.174 68608 Bytes 3.2.2010 17:50:16
VBASE017.VDF : 7.10.3.199 76800 Bytes 4.2.2010 17:50:17
VBASE018.VDF : 7.10.3.200 2048 Bytes 4.2.2010 17:50:17
VBASE019.VDF : 7.10.3.201 2048 Bytes 4.2.2010 17:50:17
VBASE020.VDF : 7.10.3.202 2048 Bytes 4.2.2010 17:50:17
VBASE021.VDF : 7.10.3.203 2048 Bytes 4.2.2010 17:50:17
VBASE022.VDF : 7.10.3.204 2048 Bytes 4.2.2010 17:50:17
VBASE023.VDF : 7.10.3.205 2048 Bytes 4.2.2010 17:50:17
VBASE024.VDF : 7.10.3.206 2048 Bytes 4.2.2010 17:50:17
VBASE025.VDF : 7.10.3.207 2048 Bytes 4.2.2010 17:50:17
VBASE026.VDF : 7.10.3.208 2048 Bytes 4.2.2010 17:50:17
VBASE027.VDF : 7.10.3.209 2048 Bytes 4.2.2010 17:50:17
VBASE028.VDF : 7.10.3.210 2048 Bytes 4.2.2010 17:50:18
VBASE029.VDF : 7.10.3.211 2048 Bytes 4.2.2010 17:50:18
VBASE030.VDF : 7.10.3.212 2048 Bytes 4.2.2010 17:50:18
VBASE031.VDF : 7.10.3.213 20992 Bytes 4.2.2010 17:50:18
Engineversion : 8.2.1.158
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.1.2010 18:04:39
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 3.2.2010 10:37:09
AESCN.DLL : 8.1.4.0 127348 Bytes 27.1.2010 18:45:15
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 17:05:22
AERDL.DLL : 8.1.3.4 479605 Bytes 1.12.2009 19:18:36
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.1.2010 17:58:34
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.7.2009 08:59:39
AEHEUR.DLL : 8.1.1.4 2326899 Bytes 3.2.2010 10:37:07
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.1.2010 17:58:23
AEGEN.DLL : 8.1.1.86 369012 Bytes 3.2.2010 10:36:58
AEEMU.DLL : 8.1.1.0 393587 Bytes 3.10.2009 17:18:07
AECORE.DLL : 8.1.11.1 184694 Bytes 3.2.2010 10:36:56
AEBB.DLL : 8.1.0.3 53618 Bytes 9.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 8.9.2009 16:10:58
AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.5.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 17:05:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 4. Februar 2010 21:42

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
D:\ToolsundTreiber\Software\Druckshop Visitkarten 2.0 (Full)\druckshop visitenkarten 2.0.exe
[0] Archivtyp: CAB SFX (self extracting)
--> \Disk1\DATA\cliparts\Allgemein\wmf\013.wmf
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\'

Ende des Suchlaufs: Donnerstag, 4. Februar 2010 22:55
Benötigte Zeit: 1:12:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5463 Verzeichnisse wurden überprüft
319225 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
319224 Dateien ohne Befall
6412 Archive wurden durchsucht
3 Warnungen
1 Hinweise

Sooo und zuguterletzt(hoffnungstirbtzuletzt)..

+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.80.0.1077
+----------------------------------------------------

--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.

--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

Ich möchte mich zwischendurch schon mal bedanken das sich jemand die Zeit nimmt.
MfG

Hm, lade dir bitte mbr.exe von GMER auf den Desktop und führe es aus. Auf dem Desktop sollte daraufhin mbr.log erscheinen, poste den Inhalt hier.

Lade außerdem folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste die Links zu den Ergebnissen:

Code:

D:\ToolsundTreiber\Software\Druckshop Visitkarten 2.0 (Full)\druckshop visitenkarten 2.0.exe

C:\Programme\Suche_Deutschland\tbSuc0.dll

C:\WINDOWS\system32\epmntdrv.sys 

C:\WINDOWS\system32\EuGdiDrv.sys

Hier das log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Rest folgt gleich

Frage zwischendurch: du warst mit deinem normalen Konto angemeldet, als mbr.exe lief? Also kein Konto mit eingeschränkten Rechten?

Das sagt er über die andern Dateien.Ich mache das gerad vieleicht doppelt?

Die Datei wurde bereits analysiert:
MD5: 57cc1bf06c159dfbb989f5783c0e6a50
First received: 2009.02.20 10:01:07 UTC
Datum 2010.01.17 08:30:04 UTC [>20D]
Ergebnisse 0/40

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.06 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.05 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.06 -
BitDefender 7.2 2010.02.06 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3842 2010.02.06 -
DrWeb 5.0.1.12222 2010.02.06 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.05 -
F-Secure 9.0.15370.0 2010.02.06 -
Fortinet 4.0.14.0 2010.02.06 -
GData 19 2010.02.06 -
Ikarus T3.1.1.80.0 2010.02.06 -
Jiangmin 13.0.900 2010.02.06 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.06 -
McAfee 5883 2010.02.05 -
McAfee+Artemis 5883 2010.02.05 -
McAfee-GW-Edition 6.8.5 2010.02.06 -
Microsoft 1.5406 2010.02.06 -
NOD32 4842 2010.02.06 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.06 -
Panda 10.0.2.2 2010.02.05 -
PCTools 7.0.3.5 2010.02.06 -
Prevx 3.0 2010.02.06 -
Rising 22.33.05.04 2010.02.06 -
Sophos 4.50.0 2010.02.06 -
Sunbelt 3.2.1858.2 2010.02.06 -
TheHacker 6.5.1.0.181 2010.02.06 -
TrendMicro 9.120.0.1004 2010.02.06 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 8704 bytes
MD5...: 57cc1bf06c159dfbb989f5783c0e6a50
SHA1..: fd25ae2f3e51b08816b5c3af712a36014be28078
SHA256: 6b878122d2533a3e162bcaf119d0d38ffe20183220a7b7639c3560c5db57a943
ssdeep: 96:GrbxkRoTRo9LtLcRlac3ff7RK00q3RX4/r0K9RDfTYjDZf0R2Ztq8KSNLcxLi
oFZ:pJgR9fN2qBIf9pYf0mtq81NL
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1d05
timedatestamp.....: 0x4897e6b0 (Tue Aug 05 05:35:44 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x15ce 0x1600 6.26 68c84af2632118f2fd70196641c7b92a
.rdata 0x1a80 0x1d5 0x200 4.74 a088f3513b68ed63036d47e4eae5b847
.data 0x1c80 0x60 0x80 1.27 e27918cd4bc6289095f759fcf3c65f72
INIT 0x1d00 0x352 0x380 5.20 6a966a3c841ac34cf9732bfe06224601
.reloc 0x2080 0x15e 0x180 4.14 3b178276205d421cad26b943ca2a438d

( 1 imports )
> ntoskrnl.exe: DbgPrint, IoDeleteDevice, IoDeleteSymbolicLink, ObfReferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, memset, IoFreeIrp, KeSetEvent, IoFreeMdl, MmUnlockPages, ExFreePoolWithTag, KeWaitForSingleObject, IofCallDriver, KeInitializeEvent, IoBuildAsynchronousFsdRequest, IofCompleteRequest, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, RtlUnicodeStringToInteger, ExAllocatePoolWithTag, memcpy, IoBuildDeviceIoControlRequest, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, RtlAnsiCharToUnicodeChar

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win16/32 Executable Delphi generic (25.4%)
Clipper DOS Executable (24.8%)
Generic Win/DOS Executable (24.6%)
DOS Executable Generic (24.6%)
VXD Driver (0.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.06 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.05 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.06 -
BitDefender 7.2 2010.02.06 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3842 2010.02.06 -
DrWeb 5.0.1.12222 2010.02.06 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.05 -
F-Secure 9.0.15370.0 2010.02.06 -
Fortinet 4.0.14.0 2010.02.06 -
GData 19 2010.02.06 -
Ikarus T3.1.1.80.0 2010.02.06 -
Jiangmin 13.0.900 2010.02.06 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.06 -
McAfee 5883 2010.02.05 -
McAfee+Artemis 5883 2010.02.05 -
McAfee-GW-Edition 6.8.5 2010.02.06 -
Microsoft 1.5406 2010.02.06 -
NOD32 4842 2010.02.06 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.06 -
Panda 10.0.2.2 2010.02.05 -
PCTools 7.0.3.5 2010.02.06 -
Rising 22.33.05.04 2010.02.06 -
Sophos 4.50.0 2010.02.06 -
Sunbelt 3.2.1858.2 2010.02.06 -
TheHacker 6.5.1.0.181 2010.02.06 -
TrendMicro 9.120.0.1004 2010.02.06 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 2166296 bytes
MD5...: 37810b173024d75560d08b5206893a02
SHA1..: dd890976442c9515101eddfcf8b7e10f6774ecf8
SHA256: e0fadca8cb66f2196b7e089fcf3ad1b15c1929353d35caad5a11f17254aa64a3
ssdeep: 49152:lN54eaeEEJx9JcdJIZTpbjtt5IlGc0UYLsXe92683EmCW0zVQPs+:lt8Au
ETZlIlGc0UYLsXe921/5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x101200
timedatestamp.....: 0x4ac4d8d0 (Thu Oct 01 16:29:04 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12f1b0 0x12f200 6.60 d6d1d61603fe6bbb81c152f8e44186b5
.rdata 0x131000 0x66f87 0x67000 4.56 a7cf4877bbb964312211f5d05f4027e6
.data 0x198000 0x7ca4 0x5a00 4.97 d932ff064966a580a4f7fe14cb80ecc5
.rsrc 0x1a0000 0x597a8 0x59800 5.93 f196d2fbd90835baad6b846435abc7cf
.reloc 0x1fa000 0x1a880 0x1aa00 5.92 4ed02dd67786680e3f8aa43d6321a4ad

( 20 imports )
> COMCTL32.dll: _TrackMouseEvent, -, InitCommonControlsEx, CreateToolbarEx, PropertySheetW, CreatePropertySheetPageW, ImageList_ReplaceIcon, ImageList_Create
> WININET.dll: DeleteUrlCacheEntry, FindNextUrlCacheEntryA, FindFirstUrlCacheEntryA, InternetCanonicalizeUrlW, InternetCrackUrlW, InternetCloseHandle, InternetOpenW, InternetSetOptionW, InternetOpenUrlW, InternetGetConnectedState, InternetCanonicalizeUrlA, HttpOpenRequestA, InternetQueryOptionA, FindCloseUrlCache, InternetConnectA, InternetReadFile, InternetGetLastResponseInfoA, HttpSendRequestA, HttpQueryInfoA, InternetOpenA, InternetCrackUrlA, InternetSetOptionA, GetUrlCacheEntryInfoW, InternetSetOptionExA
> SHLWAPI.dll: SHDeleteKeyA, PathFileExistsA, PathFileExistsW
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
> MSIMG32.dll: GradientFill
> RPCRT4.dll: UuidToStringW
> urlmon.dll: ObtainUserAgentString, URLDownloadToFileW
> CRYPT32.dll: CryptProtectData, CryptMsgClose, CertCloseStore, CertFreeCertificateContext, CryptUnprotectData, CertGetNameStringA, CertFindCertificateInStore, CryptQueryObject, CryptMsgGetParam, CertGetNameStringW
> WINMM.dll: PlaySoundW, PlaySoundA, timeGetTime, sndPlaySoundW
> PSAPI.DLL: EnumProcesses, GetModuleFileNameExW, EnumProcessModules, GetModuleBaseNameW, GetProcessMemoryInfo
> KERNEL32.dll: GlobalUnlock, LoadLibraryA, MulDiv, ReadFile, GlobalLock, GlobalAlloc, GetFileSize, CreateFileW, SizeofResource, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetFileTime, RemoveDirectoryW, GetSystemTimeAsFileTime, GetComputerNameW, OutputDebugStringW, HeapFree, GetProcessHeap, LocalAlloc, OpenProcess, Thread32Next, Thread32First, CreateToolhelp32Snapshot, TerminateProcess, SetThreadPriority, GetCurrentThread, SetEvent, ResetEvent, CreateSemaphoreW, ReleaseSemaphore, CreateFileMappingW, OpenFileMappingW, GlobalFree, MapViewOfFile, WaitForMultipleObjects, GetACP, GetCPInfo, GetStdHandle, WriteFile, ExitProcess, VirtualAlloc, VirtualFree, HeapDestroy, HeapCreate, InterlockedIncrement, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, MoveFileW, GetCommandLineA, ResumeThread, ExitThread, RaiseException, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, HeapReAlloc, HeapAlloc, RtlUnwind, MultiByteToWideChar, OpenMutexW, GetCurrentProcess, FlushInstructionCache, VirtualProtect, Sleep, ExpandEnvironmentStringsW, CreateProcessW, GetLocaleInfoW, CreateMutexW, Beep, GetLocalTime, SetEndOfFile, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, UnmapViewOfFile, GetLocaleInfoA, GetDateFormatW, GetTimeFormatW, FindResourceW, LoadResource, LockResource, FreeResource, GetFileAttributesW, SetLastError, CreateThread, FindFirstFileW, DeleteFileW, FindNextFileW, FindClose, CopyFileW, lstrcpyW, lstrcpyA, GetCurrentThreadId, LocalFree, GetLongPathNameW, GetShortPathNameW, GetModuleHandleW, GetTickCount, GetVersionExA, LoadLibraryW, FreeLibrary, WideCharToMultiByte, GetModuleFileNameA, MoveFileExW, DeleteFileA, lstrlenW, CreateEventW, WaitForSingleObject, GetModuleFileNameW, GetModuleHandleA, GetProcAddress, GetLastError, InterlockedDecrement, ReleaseMutex, CloseHandle, GetCurrentProcessId, GetOEMCP, IsValidCodePage, LCMapStringW, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetStringTypeA, GetStringTypeW, LCMapStringA, InterlockedExchange, GetConsoleCP, InitializeCriticalSectionAndSpinCount, GetConsoleMode, FlushFileBuffers, SetFilePointer
> USER32.dll: GetWindowRgn, MessageBeep, GetActiveWindow, IsDialogMessageA, IsDialogMessageW, MessageBoxA, DialogBoxParamW, DialogBoxParamA, CreateDialogParamA, CreateDialogParamW, SetRectEmpty, GetKeyState, GetDlgItemTextA, FrameRect, DrawFrameControl, DrawEdge, AllowSetForegroundWindow, PostThreadMessageA, GetDlgItemTextW, GetScrollInfo, GetMenuItemRect, InsertMenuItemA, InsertMenuItemW, IsMenu, GetMenuInfo, SetMenuInfo, GetMenuItemID, GetMenuState, SetMenuItemInfoW, CheckMenuItem, EnableMenuItem, DeleteMenu, TrackPopupMenu, PostMessageW, GetMonitorInfoW, GetMenuItemCount, GetMenuItemInfoW, CreatePopupMenu, DestroyMenu, SetClassLongA, SetLayeredWindowAttributes, SetForegroundWindow, GetDesktopWindow, EnableWindow, IsDlgButtonChecked, CheckDlgButton, SetActiveWindow, GetMessageA, ReleaseCapture, GetCapture, DispatchMessageW, DispatchMessageA, SetCapture, GetCursorPos, GetUpdateRect, MonitorFromRect, GetMonitorInfoA, BeginPaint, EndPaint, ScreenToClient, SetWindowRgn, SetRect, OffsetRect, DrawIconEx, GetIconInfo, DestroyIcon, GetSystemMetrics, FillRect, GetSysColor, PeekMessageA, MessageBoxW, SetWindowPos, DefWindowProcW, SystemParametersInfoW, LoadImageW, IsIconic, GetLastInputInfo, CharUpperW, DrawFocusRect, InflateRect, GetWindow, UpdateWindow, GetClassInfoExW, RegisterClassExW, CharLowerBuffA, GetAsyncKeyState, SendMessageW, GetWindowTextLengthW, EndDialog, GetWindowTextW, FindWindowW, GetMenuItemInfoA, IsWindowVisible, SetWindowsHookExA, UnhookWindowsHookEx, CallNextHookEx, GetClassInfoW, RegisterClassW, CreateWindowExW, UnregisterClassA, GetClassNameW, DefWindowProcA, DestroyWindow, GetWindowLongA, SetWindowLongA, GetFocus, TranslateMessage, SetDlgItemTextW, wsprintfW, SetWindowTextA, SetWindowTextW, GetClientRect, GetDlgCtrlID, CallWindowProcA, InvalidateRect, IsWindow, GetDlgItem, SendMessageA, ClientToScreen, GetParent, GetWindowLongW, CopyRect, SetCursor, LoadCursorA, PostMessageA, ShowWindow, SetWindowLongW, ReleaseDC, MoveWindow, DrawTextW, GetDC, GetWindowRect, RegisterWindowMessageW, GetWindowThreadProcessId, IsChild, SetFocus, SetTimer, KillTimer, PtInRect, IsWindowUnicode, CallWindowProcW, FindWindowExW, MsgWaitForMultipleObjects
> GDI32.dll: GetBkColor, GetTextColor, SetLayout, PlgBlt, SelectPalette, RealizePalette, GetDeviceCaps, SetRectRgn, OffsetRgn, FrameRgn, SetTextAlign, TextOutW, ExcludeClipRect, RoundRect, GetBkMode, GetPixel, CreateCompatibleBitmap, BitBlt, CreateRectRgn, Polygon, GdiFlush, SetPixel, GetObjectA, GetTextAlign, GetTextExtentPoint32W, GetLayout, Rectangle, SetBkColor, CreateCompatibleDC, DeleteDC, CreateSolidBrush, CreateFontIndirectW, CombineRgn, CreatePen, SelectObject, MoveToEx, LineTo, DeleteObject, GetWindowOrgEx, SetWindowOrgEx, SetBkMode, SetTextColor, PtInRegion, GetStockObject
> COMDLG32.dll: GetOpenFileNameW
> ADVAPI32.dll: RegEnumKeyW, ConvertStringSecurityDescriptorToSecurityDescriptorA, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, RegCreateKeyExA, InitializeSecurityDescriptor, RegDeleteKeyA, RegCloseKey, RegOpenKeyExA, RegDeleteKeyW, RegSetValueExW, RegCreateKeyExW, RegSetValueExA, GetSidSubAuthority, GetSidSubAuthorityCount, RegNotifyChangeKeyValue, CryptAcquireContextA, CryptReleaseContext, RegEnumValueW, RegEnumKeyExW, RegDeleteValueW, RegOpenKeyW, GetTokenInformation, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, OpenProcessToken, GetSecurityDescriptorSacl
> SHELL32.dll: ShellExecuteW, SHGetFolderPathW, ShellExecuteExW, SHCreateDirectoryExW
> ole32.dll: CreateStreamOnHGlobal, CoCreateInstance, CLSIDFromString, CoUninitialize, CoCreateGuid, StringFromGUID2, StringFromIID, CoInitialize, CoGetMalloc, IIDFromString
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> DNSAPI.dll: DnsQuery_A

( 14 exports )
DllCanUnloadNow, DllConnectToIE, DllConnectionProc, DllGetClassObject, DllGetInstallFileNameExt, DllOnUninstall, DllOnUpdateFinish, DllOpenUninstallPage, DllRegisterServer, DllShowTB, DllShowToolbar, DllShowToolbarWithIE, DllUnregisterServer, DllUpdate
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Windows OCX File (56.9%)
InstallShield setup (19.8%)
Win32 Executable MS Visual C++ (generic) (17.3%)
Win32 Executable Generic (3.9%)
Generic Win/DOS Executable (0.9%)
sigcheck:
publisher....: Conduit Ltd.
copyright....: Copyright (c) Conduit Ltd. 2008
product......: Conduit Toolbar
description..: Conduit Toolbar
original name: n/a
internal name: Conduit Toolbar
file version.: 5, 2, 3, 1
comments.....: Conduit Toolbar ver 1.0
signers......: Conduit Ltd.
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 4:46 PM 2/6/2010
verified.....: -

So, ich hoffe ich habe nichts vergessen.

Zitat:

Zitat von totem (Beitrag 502134)

So, ich hoffe ich habe nichts vergessen.

Zitat:

Zitat von Kos

Frage zwischendurch: du warst mit deinem normalen Konto angemeldet, als mbr.exe lief? Also kein Konto mit eingeschränkten Rechten?

:D

Also wenn es ein normales Konto war, dann mache jetzt bitte folgendes:

Schnapp dir deine Windows XP CD, und boote von dieser CD neu. Also wenn du die CD einlegst und neu startest, wirst du normalerweise beim Hochfahren gefragt, ob von der CD gestartet werden soll.

Wähle im Auswahlmenü nach dem Hochfahren R, um in die Systemwiederherstellungskonsole zu kommen. Melde dich an: normalerweise "1 Windows", also 1 drücken und Enter. Falls eine Passwortabfrage kommt, aber eigentlich kein Passwort verwendet wird, einfach Enter drücken.

Gebe nun fixmbr ein, und drücke Enter. Es kommt ein Hinweistext, j eingeben. MBR wird neu geschrieben. Es sollte eine Meldung kommen "... wurde einwandfrei geschrieben" oder so ähnlich.

Gebe nun exit ein. Der Rechner wird neu gestartet, die CD wieder rausnehmen und Windows normal starten lassen. Mache dann bitte einen erneuten Vollscan mit Malwarebytes, Update nicht vergessen.

Hallo, also nun wirds böse;),
ich muss erstmal erklären wie das bei mir ist.
Ich starte IMMER von der CD, will sagen die liegt im laufwerk. Wenn ich diese rausnehme gibt es ne Meldung: NTLDR fehlt, gehen sie nicht über Los und ziehen sie keine 4000 mArk ein.;)
Mir ist vor einem halben Jahr meine Systemplatte (zu dem Zeitpunkt waren es 3Platten) kaputt gegangen, also habe ich Festplatte onTherocks gemacht, Daten gesichert, und das Ding ausgemustert. Dann Platten umgejumpert(versucht) und Xp neu auf die zweite aufzuspielen.Dabei ist etwas schief gegangen. Ich habs dann nochmal Probiert und das traurige Resultat ist folgendes:
Zwei Festplatten ,eine IDE mit 1,5 Betriebssystemen von denen eines mit zugeführtem NTLDR von der XP CD läuft, und eine SATA Platte.
Wenn ich (mit CD ) starte fragt er immer logischerweise "Von CD starten?", was ich links liegen lasse. Nächster Blidschirm ist die Anfrage welches Betriebssystem starten soll(zwei zur auswahl).
Ich nehme das obere(das andere geht gar nicht) und drücke Return.
Dann läuft der PC.
Wenn ich wie von dir beschrieben dem Weg folge und eine taste drücke um mit cd zu starten habe ich die Auswahl XP Neu Instalieren = F irgendwas
und ein bis 2 andere. Aber R drücken ist nicht. (schäm)
Wenn ich NACH dem überspringen der CD Start option F 8 drücke kann ich abgesichert, ect. hoch fahren.
Nun ich würde gerne EINMAL nicht meiner Natur folgen ( notorischer Verschlimmbesserer) und es richtig machen;)

Uff, das ist ja ein Salat :D
Wir haben also erstmal eine verkorkste Windowsinstallation plus möglicherweise Schädlinge auf dem System :balla:

Die Frage ist jetzt: möchtest du, dass wir weiter wursteln, was dauern kann, oder lieber doch einen sauberen Neuanfang wagen, sprich alles platt zu machen (mit entsprechender Datensicherung) und Windows vernünftig installieren? Bei IDE und SATA im Parallelbetrieb gibt's dabei ein paar Sachen, die beachtet werden müssen, aber im Prinzip nichts wildes, denke ich. Zur Not gibt's hier auch einen Hardware-Forum, falls wir nicht weiterkommen :)

Ich bin begeistert von Weiterwursteln;), weniger von neu aufsetzen. Hat zwei Gründe, erstens meine Firma läuft auf dem System(Backup ist zwar da aber perepherie und Progs neu füttern dauert ewig) und etlicher kram und zweitens hab ich keinen 2ten rechner von dem aus ich bei fehlern nen inetzugang hätte und nachfragen könnte. Heisst wenn ich das verbocke(insbesondere hardware)
bin ich auf mich selbst gestellt und dann kommt wieder sowas wie jetzt raus;)

Hmm, Firma... Also, ich nehme mal an, du bist jetzt der Chef von der Firma. Dann könnten wir weitermachen. Allerdings: Wenn beim Wursteln irgendetwas schief geht und dir oder deiner Firma dabei ein finanzieller oder sonstiger Schaden entsteht, können und werden weder ich noch dieses Forum dafür haften. Wenn das für dich akzeptabel ist, hätte ich gerne ein deutliches "ja" und dann wursteln wir weiter ;)
Ansonsten empfehle ich die entsprechende Dienste aus dem gewerblichen Bereich in Anspruch zu nehmen, mit Verträgen wo das alles geregelt ist usw.
:)

Das was wir machen läuft voll und ganz auf MEINE EIGENE Verantwortung.
Ich würde niemals jemand anderem als mir selbst irgendwelche art von schuld zuweisen. Ich bin ja schon mehr als dankbar das man mir hilft.

Im übrigen noch kurz.: Ich bin der Chef. Und ich dag halt Ja.

Na guut :) Heutzutage muss man aufpassen, die Welt ist voller Anwälte ;)

Ok, es gibt noch einen anderen Weg, in die Wiederherstellungskonsole zu kommen. Starte dazu Windows normal (so normal, wie es jetzt halt geht). Leg die Windows CD ein (bzw. liegt die ja schon drin).
Start -> Ausführen -> cmd -> Ok
Im Fenster jetzt bitte eintippen:

Code:

X:\i386\winnt32.exe /cmdcons

X ist dabei der Buchstabe deines Cd-Laufwerks. Es sollte ein Setupvorgang beginnen, diesem bitte folgen. Anschließend Neustart. Beim Starten sollte jetzt zusätzlich zu den beiden Windowsinstallationen eine Auswahlmöglichkeit für die Konsole dazu kommen. Diese dann auswählen und fixmbr wie beschrieben durchführen.

Ok ich gehs an:singsing:

Das Setupprogramm kann nicht fortgesetzt werden, da die Version von Windows auf dem Computer neuer ist als die Version auf der CD.

Warnung: Wenn Sie sich dafür entscheiden, die zurzeit auf dem Computer installierte neuere Version von Windows zu löschen, können die Dateien und Einstellungen nicht wiederhergestellt werden.
Soweit dazu:(

Hm, SP2 über einen älteren Windows installiert? Heißt für uns - keine Wiederherstellungskonsole. :( Das nicht gut.

Versuche bitte noch folgendes: die mbr.exe sollte ja noch auf dem Desktop liegen. Lade dir noch zusätzlich die mbr.bat.txt auf den Desktop. Benenne diese in mbr.bat um, und führe sie mit Doppelklick aus. Sollte wieder ein Log erstellt werden, diesen bitte posten.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Kleine zwischenfrage, da ich diese Auswahl r nicht habe und er beim hochfahren über CD sagt "Eine Windowsinstallation wird aktuallisiert oder so ähnlich"muss er doch eigentlich die nicht vollständige oder noch nicht auf SP1 bzw SP2 aktuallisierte dumm rumliegende Installation meinen welche ich nicht nutze.
Kriege ich die "r"option wieder wenn ich diese 2te halbfertige installation weiterführe? Oder wenn ich diese(gesetzt den Fall das geht) lösche?

Hm, ja, war eine schwache Hoffnung. Jetzt muss ich mir überlegen, wie man MBR ohne Konsole fixen kann. Darüber muss ich erstmal meditieren.

Lass bitte in der Zwischenzeit PrevX 3.0 scannen. Falls etwas gefunden wird, bitte die Funde posten. Dazu kann man unter Tools -> Save scan results ein Log erstellen lassen. Die Funde stehen im Log normalerweise am Anfang, die rauskopieren, das gesamte Log ist zu groß.

Arbeitsanweisung mach ich gleich.
Ich habe etwas gefunden beim googln was ich nicht ganz verstehe, vieleicht kannst du damit was anfangen. die Sternchen musst du dir wegdenken ich will hier keinen akt. link reinsetzen.

http://***.informationsarchiv.net/forum/topic65273.html

Zitat:

Zitat von totem (Beitrag 502257)

Es kommt im Prinzip drauf an, ob deine Windows CD schon den SP2 mit an Board hat oder nicht. Wenn nein, funktioniert das Ganze nicht.

Löschen könnte man das unter Umständen, wenn die zweite Installation auf einer eigenen Partition liegt. In dem Fall diese Partition formatieren noch ein paar Änderungen in der Boot.ini und gut ist.

Prevx Scan Log - Version v3.0.5.67
Log Generated: 7/2/2010 17:17, Type: 0,1
Windows XP (Build 2600) 32bit|1031
Hostname: lala-bmj3oqwc6n
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Sun 2010-02-07 17:15:06 Westeuropäische Normalzeit. Number of Scans: 1. Last Scan Duration: 2 minutes 22 seconds.
[U] (ACTIVE) c:\programme\avira\antivir desktop\aeheur.dll [PX5: CFCFFA6A75F9E908818923FFF1E70300DD0536AC]
[UN] c:\windows\downloaded program files\canvasx.dll [PX5: 05DF10B6B8FDE940409308437BE6CE00562DD2F0]
[UN] c:\programme\rewi-verlag\rewi-zentrale\rwzesvr.exe [PX5: 83BA52910011624428C20E979992E500C8BDD6F5]
[UN] c:\windows\downloaded program files\jordanapplet.dll [PX5: 94441084B8A06DC4A069061A6CB78F00367D2D2A]
[U] d:\steam\gameoverlayui.exe [PX5: 9C66E60B28984D4CA705104B993CEB00B8B4A66A]
[U] d:\steam\tier0_s.dll [PX5: 94FD99EA804306EA6C0A0466F4E356009AAE2D2E]
[U] d:\steam\vstdlib_s.dll [PX5: AF45706E80C089CD1CBE06B166733B0040E30FE0]
[U] d:\steam\steam.dll [PX5: 4759F7D150B0881A45B12C3C71AC3B002C0E759A]
[U] d:\steam\steamclient.dll [PX5: 13685185882E63E64CE93E79C0D1EA00FE91A0CF]
[U] d:\steam\bin\filesystem_steam.dll [PX5: C2BC75C6901D62AC3C22036FCA7EEF00E536A942]
[U] d:\steam\bin\vgui2.dll [PX5: C9E03A632877833C57A407D3BE86FF00BE5F90EE]
[U] d:\steam\bin\friendsui.dll [PX5: F87FA91F8071FD16CCA5156D91108300C912FB79]
[U] d:\steam\bin\serverbrowser.dll [PX5: CF3072FA2843E96FF7540E468ED7C4003C8AC79D]
[U] d:\steam\steamapps\common\left 4 dead 2\left4dead2\bin\matchmaking.dll [PX5: 1E3040C660382B7DC54006B460345E0067CF7BCE]

Zitat:

Zitat von Kos (Beitrag 502262)

Zu1: Ich habe nur eine CD mit XP und SP1 gemeinsam SP2 liegt auf einer anderen.

Zu 2: Ich bin mir ziemlich sicher das beide auf C: liegen. Die zweite Partition hat keinen Windows Ordner und die dritte ist frisch formatiert.

Zitat:

Zitat von totem (Beitrag 502261)

Hm, die Situation ist dort etwas anders - Linux vs. Windows - trotzdem habe ich was interessantes gefunden, was helfen könnte. :)

Aber erstmal Prevx-Funde. Könnten im Prinzip alles Fehlalarme sein, sieht zumindest danach aus. Deshalb, fürchte ich, wirst du die Dateien einzeln bei Virustotal hochladen müssen. Poste aber bitte nur die Links zu den Ergebnisseiten, das reicht schon.

Ich lade das gern bei VT hoch aber welche?
Nur die [UN] gekenzeichneten?

erste [un] datei
http://***.virustotal.com/de/analisis/b610d794ae04f4b3a48e932422303b1034cf52716621e958f4a6b2798e7d8dd4-1265561889

zweite[un]datei
http://***.virustotal.com/de/analisis/20bee0249c30557c8250a0a1f4af9f43d51b3a6f5f7131ad209b30a01bc97a86-1265562078

dritte[un]datei
http://***.virustotal.com/de/analisis/82fedcb73a5e263df2f5f18a43219d036fc00321f3ee1e8d0ca9be4deabfea4a-1265562176

Also im Prinzip alle, die nach dem Scan angemeckert wurden.

Also gefunden hat er gar nix.
Sprich: Aktive Bedrohungen: 0
Das log was ich geposted habe is nicht mal 10% vom ganzen;)
wenn ich alle im log aufgeführten hochladen soll wird das ein paar Stunden dauer, was nicht heissen soll das ich das nicht unbesehen mache;)

:D

Ah, mein Fehler, hab mich wohl missverständlich ausgedrückt. Wenn nichts gefunden wurde, dann ist es ok. Nichts weiter hochladen bitte.

So, MBR... Lade dir bitte nLite herunter. Versuche mit Hilfe der Anleitung (leider Englisch) eine Windows CD mit SP2 (SP2 hast du ja auf einer anderen CD, sollte gut klappen) und der Konsole (Unattended -> General page -> the Unattended Mode -> Prompt repair setzen) zu erstellen. Ich muss jetzt nämlich erstmal weg und kann wahrscheinlich erst morgen wieder on sein :o

werde ich so machen ich bedanke mich und schönen Sonntag noch;)

Also wenn ich das richtig sehe hat das funktioniert. Zumindest hab ich jetzt ne DVD von der aus ich auch starten kann.

Ok. hallo ertmal da bin ich wieder;)

Also ich habe die CD glaub ich richtig geschrieben da ich laut Anweisung jetzt
beim starten "ausser" den beiden Windows, jetzt auch die Sys.wiederherst.konsole habe. Habe diese gestartet und den mbr neu geschrieben.
dann hab ich die cd rausgenommen und im bios first boot device auf HDD umgestellt. Resultat beim hochfahren: NTLDR fehlt;)
Also im Bios wieder umgestell, und die neue CD wieder rein.
So das sich im Grunde nichts verändert hat.beim auswählen welches Windows ich mit nem neuen mbr versehen will gibts nur 1.Windows.
Au weh...;)

Ah, das ist gut. Dass die NTLDR fehlt, kann verschiedene Ursachen haben, zuerst sollten wir uns aber um die Schädlinge kümmern. Führe bitte zunächst noch einmal die mbr.exe aus - im Log sollte nun zum Schluss stehen: "user & kernel MBR OK". Wenn das der Fall ist, mache bitte einen Vollscan mit Malwarebytes, Update nicht vergessen. Falls dort aber wieder ein error kommt, führe bitte fixmbr noch einmal aus und scanne mit Malwarebytes direkt nach dem Hochfahren.

Hallo, das ist das ergebnis der mbr.exe
ich mach nochmal fixmbr

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Hallo,ich habe nochmals MBR gefixed und nach dem hochfahren direkt nen MWb scan gemacht, natürlich geupdated.

Hier das log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3712
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

09.02.2010 15:40:32
mbam-log-2010-02-09 (15-40-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 244263
Laufzeit: 59 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

:o Was immer es ist, es ist jedenfalls hartnäckig. Vorausgesetzt, da ist überhaupt was...

Ok, erstelle dir bitte eine Dr.Web LiveCD, boote von dieser CD (Default Start), lasse nach Möglichkeit ein Update durchführen und prüfe damit alle Laufwerke.

Hallo, ich habe Dr.Web laufen lassen. Gefunden hat er meines erachtens nichts.
Nur unter einem Punkt war 1 von 1 suspeciens oder so ähnlich?
Ich suche immer noch nach einem Log. Wird sowas geschrieben? Und wenn ja wohin? Darüber hinaus hat PrevX mich angemeckert. Hab die Datei manuel ausradiert.Ein wenig verwunderlich nach 3 vollscans plötzlich damit um die Ecke zu kommen. Die Datei war die ganze Zeit da.

Kurz erwähnen wollte ich noch das ich das NTLDR Problem gelöst habe.
Muss jetzt nicht mehr mit CD booten. Lag an der Prioritäten einstellung der HDDS. "Schäm"

Zitat:

Nur unter einem Punkt war 1 von 1 suspeciens oder so ähnlich?
Ich suche immer noch nach einem Log. Wird sowas geschrieben? Und wenn ja wohin?

Ein Log wird meines Wissens nicht geschrieben. Wahrscheinlich war es eine "suspicious", also eine verdächtge Datei. Wäre ganz gut zu wissen, welche das war.

Zitat:

Darüber hinaus hat PrevX mich angemeckert. Hab die Datei manuel ausradiert.Ein wenig verwunderlich nach 3 vollscans plötzlich damit um die Ecke zu kommen. Die Datei war die ganze Zeit da.

Welche Datei war das? PrevX wird sozusagen laufend aktualisiert, kann sein, dass was neues gefunden wurde. Oder es war ein Fehlalarm.

Zitat:

Kurz erwähnen wollte ich noch das ich das NTLDR Problem gelöst habe.
Muss jetzt nicht mehr mit CD booten. Lag an der Prioritäten einstellung der HDDS.

Hm, sieh bitte nach, was mbr.exe jetzt sagt. Ist denke ich eher unwahrscheinlich, könnte aber vllt. sein, dass der error daher kam.

Ansonsten versuchen wir es nochmal mit GMER. Wähle aber bitte, bevor du auf "Scan" gehst, alle Häkchen auf der rechten Seite außer "Registry" ab. Mal sehen, vllt. lässt sich ja was finden...

Das ist das mbr.exe Ergebniss:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Ich verstehs nicht....;)

PreVx hat sich über einen keygen beschwert.

Welche datei bei Dr.Web das war kann ich nicht sagen, da muss icheinen neuen scan machen...wein;)

Gmer mache ich nachher.
Danke dir für die Gedult.

Hallo ich war berufl. ein paar Tage nicht da und reiche das gmer log nach.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-18 13:21:37
Windows 5.1.2600 Service Pack 2
Running: s3t7634h.exe; Driver: C:\DOKUME~1\gg\LOKALE~1\Temp\kwrdrpow.sys

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x02 0xCE 0x32 0xDF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD4 0xAA 0x05 0x9E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xE9 0x2D 0xC4 0xF1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x02 0xCE 0x32 0xDF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD4 0xAA 0x05 0x9E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xE9 0x2D 0xC4 0xF1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x02 0xCE 0x32 0xDF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD4 0xAA 0x05 0x9E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xE9 0x2D 0xC4 0xF1 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x02 0xCE 0x32 0xDF ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD4 0xAA 0x05 0x9E ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xE9 0x2D 0xC4 0xF1 ...

---- EOF - GMER 1.0.15 ----

Sollten eigentlich alle Haken AUSSER reg an sein oder NUR reg angehakt sein?
MfG