Trojaner-Board - Antispyware Soft Infektion

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antispyware Soft Infektion (https://www.trojaner-board.de/86770-antispyware-soft-infektion.html)

Antispyware Soft Infektion

Hallo!

Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die Musik und jetzt stehe ich da:

Egal welche App ich starten will kommt:
"Application cannot be executed. The file xxxxx.xxx (applikationsfile) is infected. Do you want to activate your antivirus software now?"

Es kommt dann irgendwann ein Fenster mit
"Antispyware Soft
Innovative protection for your PC"

Das Sicherheitscenter von Windows wird geöffnet.

es kommen Meldungen, die sagen, dass 38 Malwareprogramme auf meinem Rechneer wären und ob ich diese beseitigen möchte.

Ausserdem werden automatisch Pornoseiten im Internetexplorer gestartet.

Ixh habe mit Malwarebytes, das zufällig auf dem Rechner installiert ist im protected mode einen Reinigungsversuch gemacht, der 18 infizierte Objekte fand und beseitigte, dann neu im protected mode gestartet, alles schien OK, eine Malware trace wurde noch aus der Registry entfernt. Nach Normalstart war das Problem aber wieder komplett da!

Hier der Malwarebytes Log, den ich glücklicherweise über einen Memorystick aus dem Rechner lotsen konnte...

Code:

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3900

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702
 

04.06.2010 23:41:39

mbam-log-2010-06-04 (23-41-39).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 238290

Laufzeit: 16 minute(s), 20 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 13

Infizierte Registrierungswerte: 4

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 1

Infizierte Dateien: 11
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{836222e2-47cf-4fcb-bae1-b3679083edc1} (Adware.EZlife) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\uedijvrc.dll (Adware.EZlife) -> Quarantined and deleted successfully.

C:\Temp\ersoacwxmn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Temp\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Temp\0.21977870949342415.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Ich hoffe, dass ich in meiner Panik die Forumsregeln eingehalten habe und mir hier einmal mehr geholfen werden!

Danke!
Winfried

Also ich habe inzwischen (mehr per Zufall :dummguck: ) die allgemeine Entfernungsanleitung hier im Forum gefunden und ging also diese erstmal durch.

Nachdem ich aber schon mit Malwarebytes gearbeitet hatte, scheint Rkill im abgesicherten Windows Modus nichts zum Stoppen gefunden zu haben. Das finde ich etwas verdächtig... Allerdings hatte ich die nvapps.xml auf nvapps.xl1 und k77a8.dll auf k77a8.dl1umbenannt, vielleicht wurden sie darum nicht gefunden oder eliminiert...

In der Proxyeinstellung habe ich jetzt das Häkchen entfernt.

Malwarebytes lässt sich im abgesicherten Modus problemlos starten, findet auch nichts.

ASER: in Windows\System32\Drivers hat GMER die Datei kgzdy.sys gefunden, die irgendwie immer aktualisiert wird (sieht man am Datum) wenn man sie im Windows Explorer ansieht ...

Also es ist alles noch etwas sehr komisch...

Ich poste dann noch die Logs.

OTL

Code:

OTL logfile created on: 05.06.2010 02:17:18 - Run 1

OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS

Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS

Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT

Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: MFSRV01

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: SafeMode

Scan Mode: Current user

Company Name Whitelist: On

Skip Microsoft Files: On

File Age = 90 Days

Output = Standard

Quick Scan

 
 ========== Processes (SafeList) ==========

 

PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)

SRV - [2006.06.18 14:56:10 | 000,712,704 | ---- | M] (UltraVNC) [Auto | Stopped] -- C:\Programme\UltraVNC\WinVNC.exe -- (winvnc)

SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Stopped] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)

SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)

DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)

DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent)

DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)

DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)

DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)

DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)

DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)

DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)

DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)

DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)

DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)

DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)

DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)

DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)

DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)

DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST)

DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa)

DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)

DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)

DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)

DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)

DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)

DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)

DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - Reg Error: Key error. File not found

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555

 

 

 

O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]

O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)

O4 - HKLM..\Run: [skb]  File not found

O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)

O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC)

O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()

O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)

O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk = U:\FOSERVER.exe File not found

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk = X:\IFCSTART.BAT File not found

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 45681376

O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)

O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation)

O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O32 - HKLM CDRom: AutoRun - 0

O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\AutoRun\command - "" = E:\ -- File not found

O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\open\Command - "" = WScript.exe .\autorun.vbs

O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat

O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat

O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: 6to4 -  File not found

NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.05.17 15:32:00 | 000,000,000 | ---D | M]

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

NetSvcs: SSHNAS -  File not found

Unable to start service SrService!

 
 ========== Files/Folders - Created Within 90 Days ==========

 

[2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

[2010.06.05 01:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\k77a8.dll

[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml

[2010.06.04 23:45:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent

[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe

[2010.06.04 22:31:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf

[2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

[2010.06.04 22:30:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56

[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp

[2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput

[2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll

[2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory

[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz

[2010.04.05 01:56:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Musikdownload

[2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1

[2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR

[2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager

[2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC

[2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy

 
 ========== Files - Modified Within 90 Days ==========

 

[2010.06.05 02:19:22 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\kgzdy.sys

[2010.06.05 02:15:35 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT

[2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

[2010.06.05 01:24:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.06.05 01:23:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.06.05 01:22:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.06.05 01:22:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini

[2010.06.05 01:22:19 | 003,250,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db

[2010.06.05 01:18:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job

[2010.06.05 00:19:01 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini

[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1

[2010.06.05 00:17:54 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini

[2010.06.05 00:17:51 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp

[2010.06.05 00:17:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe

[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1

[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe

[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls

[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF

[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat

[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp

[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe

[2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk

[2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f   Micros-Fidelio -  FO Server.lnk

[2010.04.06 23:14:45 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp

[2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk

[2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk

[2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk

[2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.03.22 19:28:12 | 000,000,612 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

 
 ========== Files Created - No Company Name ==========

 

[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys

[2010.06.04 22:30:50 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedyb.exe

[2010.06.04 22:30:30 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\k77a8.dl1

[2010.06.04 22:15:22 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedya.exe

[2010.06.04 22:15:20 | 000,000,250 | -H-- | C] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job

[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe

[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp

[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat

[2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk

[2010.04.06 23:14:45 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp

[2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk

[2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk

[2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk

[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini

[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini

[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll

[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll

[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll

[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll

[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll

[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll

[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll

[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll

[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll

 
 ========== LOP Check ==========

 

[2010.06.04 22:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56

[2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics

[2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1

[2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid

[2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

[2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

[2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

[2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS

[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %SYSTEMDRIVE%\*.* >

[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF

[2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT

[2007.05.22 14:42:47 | 000,000,211 | -HS- | M] () -- C:\boot.ini

[2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin

[2009.09.18 12:42:18 | 000,000,572 | ---- | M] () -- C:\CibRegSvr.log

[2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS

[2007.05.24 11:21:27 | 000,001,710 | ---- | M] () -- C:\DEBUG.LOG

[2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\IO.SYS

[2007.05.21 15:31:30 | 000,000,452 | ---- | M] () -- C:\mfInst.log

[2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

[2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM

[2009.03.28 01:35:57 | 000,251,712 | RHS- | M] () -- C:\ntldr

[2010.06.05 01:23:45 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys

[2007.05.17 15:57:58 | 000,000,440 | ---- | M] () -- C:\RHDSetup.log

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

 
 < %systemroot%\Tasks\*.job /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2007.05.17 17:24:05 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

[2007.05.17 17:24:05 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav

[2007.05.17 17:24:05 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

 
 < %systemroot%\system32\drivers\*.sys /90 >

[2010.06.05 02:20:20 | 000,823,808 | ---- | M] () -- C:\WINDOWS\system32\drivers\kgzdy.sys

< End of report >

EXTRA

Code:

OTL Extras logfile created on: 05.06.2010 02:17:18 - Run 1

OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS

Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS

Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT

Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: MFSRV01

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: SafeMode

Scan Mode: Current user

Company Name Whitelist: On

Skip Microsoft Files: On

File Age = 90 Days

Output = Standard

Quick Scan

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusOverride" = 0

"FirewallOverride" = 0

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009

"38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293

"1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521

"443:TCP" = 443:TCP:*:Enabled:IP PORT 443

"80:TCP" = 80:TCP:*:Enabled:IP PORT 80

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

"1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621

"5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900

"4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400

"2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC)

"C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC)

"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE" = C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program -- (Symantec Corporation)

"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE" = C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation)

"C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation)

"D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.)

"C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH)

"C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH)

 

 
 ========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Octoshape Streaming Services" = Octoshape Streaming Services

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 01.04.2010 14:33:09 | Computer Name = MFSRV01 | Source = G4Cti | ID = 5

Description = OSI_Hipath3000: Nicht verbunden!     Windows-Socket-Fehler: Ein Verbindungsversuch

 ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht ordnungsgemäß

 reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene

 Host nicht reagiert hat (10060), auf API 'connect'     Thread: HospiX Entry - PBX Interface

 TThreadCtiSteuerung

 

Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated

 abnormally  .

 

Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated

 abnormally  .

 

Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 04.06.2010 18:22:33 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated

 abnormally  .

 

Error - 04.06.2010 18:22:34 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

[ System Events ]

Error - 04.06.2010 19:53:50 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 19:55:37 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 20:11:13 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 20:12:01 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 20:12:43 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 20:12:55 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 20:15:14 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 20:15:32 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = SRService | ID = 104

Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.

 

Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7023

Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler

 beendet:   %%2

 

 

< End of report >

GMER:

GMER Logfile:
GMER Logfile:

Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-06-05 02:49:39

Windows 5.1.2600 Service Pack 3

Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.pak2    C:\WINDOWS\system32\drivers\kgzdy.sys                                     entry point in ".pak2" section [0xF73B74E0]

?        C:\WINDOWS\system32\drivers\kgzdy.sys                                     Ein an das System angeschlossenes Gerät funktioniert nicht.

PAGE     Ntfs.sys                                                                  F7193E55 4 Bytes  CALL 865D4159 
 

---- User code sections - GMER 1.0.15 ----
 

.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtProtectVirtualMemory     7C91D6EE 5 Bytes  JMP 006E000A 

.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtWriteVirtualMemory       7C91DFAE 5 Bytes  JMP 006F000A 

.text    C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!KiUserExceptionDispatcher  7C91E47C 5 Bytes  JMP 006D000C 

.text    C:\WINDOWS\system32\svchost.exe[612] USER32.dll!GetCursorPos              7E37974E 5 Bytes  JMP 0068000A 

.text    C:\WINDOWS\system32\svchost.exe[612] ole32.dll!CoCreateInstance           774D057E 5 Bytes  JMP 0132000A 

.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtProtectVirtualMemory            7C91D6EE 5 Bytes  JMP 00B8000A 

.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtWriteVirtualMemory              7C91DFAE 5 Bytes  JMP 00BE000A 

.text    C:\WINDOWS\explorer.exe[1340] ntdll.dll!KiUserExceptionDispatcher         7C91E47C 5 Bytes  JMP 00B7000C 
 

---- Devices - GMER 1.0.15 ----
 

Device   \FileSystem\Ntfs \Ntfs                                                    86506EC8

Device   \Driver\aksusb \Device\00000058                                           AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)
 

---- Services - GMER 1.0.15 ----
 

Service   (*** hidden *** )                                                        [BOOT] kgzdy                                                         <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Type                         1

Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Start                        0

Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@ErrorControl                 0

Reg      HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Group                        Boot Bus Extender

Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Type                             1

Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Start                            0

Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@ErrorControl                     0

Reg      HKLM\SYSTEM\ControlSet003\Services\kgzdy@Group                            Boot Bus Extender
 

---- EOF - GMER 1.0.15 ----]

--- --- ---

Gruss,
Winfried

Hier noch die RSIT Logs

RSIT Logfile:
RSIT Logfile:

Code:

Logfile of random's system information tool 1.07 (written by random/random)

Run by Administrator at 2010-06-05 04:36:44

Microsoft Windows XP Professional Service Pack 3

System drive C: has 23 GB (76%) free of 30 GB

Total RAM: 1022 MB (74% free)
 

HijackThis download failed
 

======Scheduled tasks folder======
 

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}]

C:\WINDOWS\system32\k77a8.dll - C:\WINDOWS\system32\k77a8.dll []
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-05-28 278128]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"WinVNC"=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]

"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]

"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016]

"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]

"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]

"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]

"skb"=rundll32 uedijvrc.dll,,Run []

"xaknoleo"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

"Octoshape Streaming Services"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe [2008-05-22 156944]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-12-18 40368]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]

C:\cleansweep.exe\cleansweep.exe []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu]

C:\Temp\fn4yj.exe []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]

C:\Temp\debug.exe []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]

c:\Temp\Pql.exe []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]

c:\Temp\lxqg3foj.dll, RestoreWindows []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]

C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

f   Micros-Fidelio -  FO Server.lnk - U:\FOSERVER.exe

i    Micros-Fidelio -  Interface.lnk - X:\IFCSTART.BAT

NDAS Device Management.lnk - C:\Programme\NDAS\System\ndasmgmt.exe
 

C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart

OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]

C:\WINDOWS\system32\PCANotify.dll [2002-02-15 24638]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]

har98fefiesjfs93s8i9sejsdf - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll []
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

"NoDrives"=45681376

"NoFolderOptions"=0
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\UltraVNC\vncviewer.exe"="C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe"

"C:\Programme\UltraVNC\winvnc.exe"="C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe"

"C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"="C:\WINDOWS\SYSTEM32\WUAUCLT.EXE:*:Enabled:C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"

"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE"="C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program"

"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE"="C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service"

"C:\Programme\Symantec\pcAnywhere\awrem32.exe"="C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service"

"D:\fidelio\program\Ifc7.exe"="D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd."

"C:\programme\HospiX Entry\g4.exe"="C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry"

"C:\programme\hospix entry\g4servicectrl.exe"="C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d891d302-d557-11de-a98e-0019990564f0}]

shell\AutoRun\command - E:\

shell\open\command - WScript.exe .\autorun.vbs
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}]

shell\AutoRun\command - lgrncie.bat

shell\explore\command - lgrncie.bat

shell\open\command - lgrncie.bat
 
 

======List of files/folders created in the last 1 months======
 

2010-06-05 04:36:51 ----D---- C:\Programme\trend micro

2010-06-05 04:36:44 ----D---- C:\rsit

2010-06-05 01:34:17 ----D---- C:\WINDOWS\system32\k77a8.dll

2010-06-05 01:29:31 ----D---- C:\WINDOWS\system32\nvapps.xml

2010-06-05 00:17:34 ----A---- C:\WINDOWS\SchedLgU.Txt

2010-06-04 23:54:52 ----A---- C:\WINDOWS\ntbtlog.txt

2010-06-04 22:31:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

2010-06-04 22:30:50 ----A---- C:\WINDOWS\Pjedyb.exe

2010-06-04 22:30:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56

2010-06-04 22:15:22 ----A---- C:\WINDOWS\Pjedya.exe

2010-05-26 23:44:53 ----HDC---- C:\WINDOWS\$NtUninstallKB981793$

2010-05-22 22:24:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

2010-05-22 22:22:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

2010-05-22 22:22:49 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe

2010-05-22 22:22:47 ----D---- C:\Programme\dBpoweramp

2010-05-15 11:54:26 ----A---- C:\WINDOWS\system32\pncrt.dll

2010-05-15 11:54:02 ----D---- C:\Programme\FormatFactory

2010-05-13 03:00:23 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$

2010-05-11 10:43:44 ----D---- C:\Programme\Downloader Qobuz

2010-05-11 10:43:44 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
 

======List of files/folders modified in the last 1 months======
 

2010-06-05 04:36:51 ----RD---- C:\Programme

2010-06-05 04:34:03 ----D---- C:\Temp

2010-06-05 02:13:53 ----D---- C:\WINDOWS\system32

2010-06-05 02:13:53 ----D---- C:\WINDOWS

2010-06-05 01:53:36 ----HD---- C:\WINDOWS\inf

2010-06-05 01:53:35 ----D---- C:\WINDOWS\system32\CatRoot2

2010-06-05 00:19:01 ----A---- C:\WINDOWS\ais.ini

2010-06-05 00:18:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2

2010-06-05 00:17:54 ----A---- C:\WINDOWS\BrmfBidi.ini

2010-06-04 23:43:57 ----HDC---- C:\WINDOWS\$NtUninstallKB920213$

2010-06-04 23:43:57 ----D---- C:\WINDOWS\system32\drivers

2010-06-04 23:05:51 ----SD---- C:\WINDOWS\Tasks

2010-06-04 22:31:06 ----RSHDC---- C:\WINDOWS\system32\dllcache

2010-06-03 01:04:30 ----D---- C:\WINDOWS\Prefetch

2010-05-28 09:37:18 ----SHD---- C:\WINDOWS\Installer

2010-05-13 21:59:04 ----D---- C:\WINDOWS\Debug

2010-05-13 03:00:25 ----D---- C:\Programme\Outlook Express

2010-05-12 09:08:46 ----HD---- C:\WINDOWS\$hf_mig$

2010-05-09 00:35:41 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 AW_HOST;AW_HOST; C:\WINDOWS\system32\drivers\aw_host5.sys [2002-02-11 33496]

R3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys [2006-11-22 327168]

R3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys [2006-11-22 100096]

R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]

R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]

R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]

R3 ndasbus;NDAS Bus Driver; C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2005-03-31 39168]

R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]

S1 awlegacy;awlegacy; C:\WINDOWS\System32\Drivers\awlegacy.sys [2000-09-11 10816]

S1 lfsfilt;Lean File Sharing; \??\C:\WINDOWS\system32\DRIVERS\lfsfilt.sys []

S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]

S2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []

S2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]

S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]

S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-10 156160]

S3 brfilt;Brother MFC-Filtertreiber; C:\WINDOWS\System32\Drivers\Brfilt.sys [2001-08-17 2944]

S3 brparimg;Brother Multifunktions-parallel-Image-Treiber; C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 3168]

S3 BrParWdm;Brother WDM-Treiber (parallel); C:\WINDOWS\System32\Drivers\BrParwdm.sys [2001-08-18 39808]

S3 BrSerWDM;Brother WDM-Treiber (seriell); C:\WINDOWS\System32\Drivers\BrSerWdm.sys [2001-08-17 60416]

S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]

S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]

S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]

S3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744]

S3 ndasscsi;NDAS SCSI Miniport Driver; C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2005-03-31 91392]

S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]

S3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS []

S3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]

S4 ACPI;ACPI; C:\WINDOWS\system32\drivers\ACPI.sys []

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

S2 awhost32;pcAnywhere Host Service; C:\Programme\Symantec\pcAnywhere\awhost32.exe [2002-02-15 114749]

S2 G4AAA;HospiX Entry - AAA Service; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]

S2 G4Cti;HospiX Entry - PBX Interface; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]

S2 G4DataImport;HospiX Entry - Call data import; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]

S2 G4FOC;HospiX Entry - PMS Connector; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]

S2 G4ServiceControl;HospiX Entry - Service Controller; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]

S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-05 135664]

S2 ndassvc;NDAS Service; C:\Programme\NDAS\System\ndassvc.exe [2005-03-31 377856]

S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]

S2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]

S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]

S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]
 

-----------------EOF-----------------

--- --- ---

--- --- ---

Info.txt
[code]info.txtRSIT Logfile:RSIT Logfile:

Code:

logfile of random's system information tool 1.06 2010-06-05 04:36:55
 

======Uninstall list======
 
 

======System event log======
 

Computer Name: MFSRV01

Event Code: 51

Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
 

Record Number: 7374

Source Name: Disk

Time Written: 20100505113506.000000+120

Event Type: Warnung

User: 
 

Computer Name: MFSRV01

Event Code: 51

Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
 

Record Number: 7373

Source Name: Disk

Time Written: 20100505113506.000000+120

Event Type: Warnung

User: 
 

Computer Name: MFSRV01

Event Code: 51

Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
 

Record Number: 7372

Source Name: Disk

Time Written: 20100505113506.000000+120

Event Type: Warnung

User: 
 

Computer Name: MFSRV01

Event Code: 51

Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
 

Record Number: 7371

Source Name: Disk

Time Written: 20100505113506.000000+120

Event Type: Warnung

User: 
 

Computer Name: MFSRV01

Event Code: 26

Message: Anwendungspopup: Windows - Datenverlust beim Schreiben: Es konnten nicht alle Daten für die Datei P:\ gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Dateien woanders zu speichern. 
 

Record Number: 7370

Source Name: Application Popup

Time Written: 20100505113504.000000+120

Event Type: Informationen

User: 
 

=====Application event log=====
 

Computer Name: MFSRV01

Event Code: 4

Message: Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/02FAF3E291435468607857694DF5E45B68851868.crt>.
 

Record Number: 2647

Source Name: crypt32

Time Written: 20091006114356.000000+120

Event Type: Informationen

User: 
 

Computer Name: MFSRV01

Event Code: 2

Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 

Record Number: 2646

Source Name: crypt32

Time Written: 20091006114355.000000+120

Event Type: Informationen

User: 
 

Computer Name: MFSRV01

Event Code: 7

Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.
 

Record Number: 2645

Source Name: crypt32

Time Written: 20091006114355.000000+120

Event Type: Informationen

User: 
 

Computer Name: MFSRV01

Event Code: 0

Message: 

Record Number: 2644

Source Name: gusvc

Time Written: 20091006110834.000000+120

Event Type: Informationen

User: 
 

Computer Name: MFSRV01

Event Code: 0

Message: 

Record Number: 2643

Source Name: gusvc

Time Written: 20091006110734.000000+120

Event Type: Informationen

User: 
 

======Environment variables======
 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"NUMBER_OF_PROCESSORS"=1

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Symantec\pcAnywhere\;C:\Programme\CIB pdf brewer

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel

"PROCESSOR_LEVEL"=6

"PROCESSOR_REVISION"=0f02

"TEMP"=c:\Temp

"TMP"=c:\Temp

"windir"=%SystemRoot%

"SAFEBOOT_OPTION"=MINIMAL
 

-----------------EOF-----------------

--- --- ---

--- --- ---

Ich hoffe Ihr könnt mir helfen. Ich probiere jetzt nochmal ein normalen Boot.

Au Mann!

Winfried

Also ich verzweifle gerade, die ganze stundenlange Aktion hat nichts gebracht...

Nach Neustart alles wieder beim alten: ich kann kein Programm starten, immer die bekannte Meldung.

Also wieder abgesicherter Modus und nochmal Rkill.com gestartet, das findet aber keine zu stoppenden Prozesse ausser sich selbst...

Dann nochmal Malwarebytes (nach update mit neuesten Daten) gestartet, findet jetzt was, läuft aber noch eine Weile. Was für eine schlaflose Nacht wegen diesem Mist (ja, habe ich mir ja selbst zuzuschreiben, weiss schon :headbang: )

Bis später, ich poste dann noch den Malwarebytes Scan.
Gruss,
Winfried

:hallo:

Es ist mitten in der Nacht, also etwas geduld ;)

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

Code:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=

O4 - HKLM..\Run: [skb]  File not found

O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()

O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]

O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]

O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat

O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat

O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat

[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job

[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe

[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1

[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe

[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys

:services

:files

C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf

C:\cleansweep.exe

C:\Temp\fn4yj.exe

C:\Temp\debug.exe 

c:\Temp\Pql.exe

c:\Temp\lxqg3foj.dll
 

:reg

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]
 
 

:Commands

[purity]

[emptytemp]

[reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Berichte ob Du wieder in den Normalen Modus starten kannst.

Hallo Daniel,

ungeduld Euch Helfern gegenüber wäre ja ganz unangebracht! Vielen Dank, dass Du zu dieser Zeit schon nach uns unglücklichen schaust!

Also ich habe Malwarebytes zuende laufen lasen, hier ist der Log:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4052
 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702
 

05.06.2010 06:06:28

mbam-log-2010-06-05 (06-06-28).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 244914

Laufzeit: 55 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 5

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.

HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.

HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Also, ich gehe dann Deinem Rat folgend mit OTL.exe und Deinem Code weiter, ohne Malwarebytes "reinigen" zu lassen. Hoffentlich ist das OK...

Gruss, bis bald,
Winfried

Hallo Daniel,

es scheint geschafft! :huepp:

Der PC wurde nach OTL ganz normal gebootet, alle Software geht wieder, keine Fehlermeldungen mehr, das Icon in der Taskleiste ist auch weg.

Hier das OTL Log:

Code:

All processes killed

========== OTL ==========

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\skb deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\xaknoleo deleted successfully.

C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ deleted successfully.

C:\WINDOWS\system32\k77a8.dll folder moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{C7BA40A1-74F2-52BD-F411-04B15A2C8953} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ not found.

File C:\WINDOWS\system32\k77a8.dll not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.

File lgrncie.bat not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.

File lgrncie.bat not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.

File lgrncie.bat not found.

C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job moved successfully.

C:\WINDOWS\Pjedyb.exe moved successfully.

C:\WINDOWS\system32\k77a8.dl1 moved successfully.

C:\WINDOWS\Pjedya.exe moved successfully.

File move failed. C:\WINDOWS\system32\drivers\kgzdy.sys scheduled to be moved on reboot.

========== SERVICES/DRIVERS ==========

========== FILES ==========

C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf folder moved successfully.

File\Folder C:\cleansweep.exe not found.

File\Folder C:\Temp\fn4yj.exe not found.

File\Folder C:\Temp\debug.exe not found.

File\Folder c:\Temp\Pql.exe not found.

File\Folder c:\Temp\lxqg3foj.dll not found.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3\ not found.

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo\ deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

 

User: Administrator.MFSRV01

->Temp folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

 

User: mfsys

->Temp folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

 

User: Reception

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

Session Manager Temp folder emptied: 8395431 bytes

Session Manager Tmp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 8,00 mb

 

 

OTL by OldTimer - Version 3.2.5.3 log created on 06052010_062014
 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\system32\drivers\kgzdy.sys scheduled to be moved on reboot.
 

Registry entries deleted on Reboot...

"kgzdy.sys" ist nach Reboot nicht verschoben worden!!!! Es steht noch in den Drivers und scheint aber bisher nicht zu stören. Was machen wir da? Falls noch etwas zu tun ist, mache ich das natürlich wenn ich wieder "da" bin.

Ich nehme jetzt trotzdem mal 'ne Mütze voll Schlaf. Viiiieeelen herzlichen Dank bis hierher! :party:

Und die benutzten Softwares brauche ich später nur vom Desktop löschen, richtig?

Danke und Gruss,
Winfried

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:[indent]Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo!

also Combofix.exe ist gelaufen, hatte Rootkit activity festgestellt, dann nach zweimaligem Boot läuft alles scheinbar normal.

Hier ist der Log:

Code:

ComboFix 10-06-03.01 - Administrator 05.06.2010  16:05:24.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.749 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56

c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56\enemies-names.txt

c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56\local.ini

c:\windows\command

c:\windows\command\EXTRACT.PIF

c:\windows\system32\driVERs\kgzdy.sys

U:\LOG.EXE
 

Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_SSHNAS

-------\Legacy_kgzdy

-------\Service_kgzdy
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-05-05 bis 2010-06-05  ))))))))))))))))))))))))))))))

.
 

2010-06-05 13:51 . 2010-06-05 14:09        --------        d-----w-        c:\temp\Google Toolbar

2010-06-05 04:20 . 2010-06-05 04:20        --------        d-----w-        C:\_OTL

2010-06-05 03:06 . 2010-06-05 03:06        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        c:\programme\trend micro

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        C:\rsit

2010-06-04 23:29 . 2010-06-04 23:29        --------        d-----w-        c:\windows\system32\nvapps.xml

2010-06-04 20:43 . 2010-06-04 20:43        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2010-06-04 20:31 . 2010-06-04 21:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

2010-05-22 20:24 . 2010-05-22 20:26        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

2010-05-22 20:22 . 2010-05-22 20:33        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

2010-05-22 20:22 . 2010-05-22 20:22        15326        ----a-w-        c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2010-05-22 20:22 . 2010-05-21 08:49        5652144        ----a-w-        c:\windows\system32\SpoonUninstall.exe

2010-05-22 20:22 . 2010-05-22 20:22        --------        d-----w-        c:\programme\dBpoweramp

2010-05-15 09:54 . 2010-05-15 10:08        --------        d-----w-        c:\programme\FormatFactory

2010-05-11 08:43 . 2010-05-11 09:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

2010-05-11 08:43 . 2010-05-11 08:43        --------        d-----w-        c:\programme\Downloader Qobuz
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-05 14:13 . 2007-06-08 13:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2

2010-05-08 22:35 . 2009-04-07 20:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss

2010-04-29 13:39 . 2010-02-21 21:03        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-02-21 21:03        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-01 06:15 . 2004-08-04 12:00        63580        ----a-w-        c:\windows\system32\perfc007.dat

2010-04-01 06:15 . 2004-08-04 12:00        391000        ----a-w-        c:\windows\system32\perfh007.dat

2010-03-10 06:15 . 2004-08-04 12:00        420352        ----a-w-        c:\windows\system32\vbscript.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Octoshape Streaming Services"="c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinVNC"="c:\programme\UltraVNC\WinVNC.exe" [2006-06-18 712704]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\

OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

f   Micros-Fidelio -  FO Server.lnk - U:\FOSERVER.exe [2007-5-22 14167552]

i    Micros-Fidelio -  Interface.lnk - X:\IFCSTART.BAT [2007-5-21 10929]

NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]

2002-02-15 08:51        24638        ----a-w-        c:\windows\system32\PCANotify.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-18 07:58        40368        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2006-08-11 18:43        1519616        ----a-w-        c:\windows\system32\nwiz.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

2006-05-16 16:04        2879488        ----a-w-        c:\windows\SkyTel.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\UltraVNC\\vncviewer.exe"=

"c:\\Programme\\UltraVNC\\winvnc.exe"=

"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=

"d:\\fidelio\\program\\Ifc7.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"38293:TCP"= 38293:TCP:IP PORT 38293

"1521:TCP"= 1521:TCP:IP PORT 1521

"443:TCP"= 443:TCP:IP PORT 443

"1621:TCP"= 1621:TCP:IP PORT 1621

"5900:TCP"= 5900:TCP:IP PORT 5900

"4400:TCP"= 4400:TCP:IP PORT 4400

"2967:TCP"= 2967:TCP:IP PORT 2967
 

R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]

R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]

R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]

R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]

R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]

R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]

.

Inhalt des "geplante Tasks" Ordners
 

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
 

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-Adobe ARM - c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

MSConfigStartUp-hsfe8owijfisjhgs7ye39gjsoighsd7y3eu - c:\temp\fn4yj.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-05 16:13

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D0278A]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf7632f28

\Driver\atapi -> atapi.sys @ 0xf732e852

\Driver\iaStor -> iaStor.sys @ 0xf7279184

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d68ad0

 PacketIndicateHandler -> NDIS.sys @ 0xf71a1a21

 SendHandler -> NDIS.sys @ 0xf717f87b

user & kernel MBR OK 

copy of MBR has been found in sector 0x01D1BC7FF 

malicious code @ sector 0x01D1BC802 !

PE file found in sector at 0x01D1BC818 !
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(2624)

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Symantec\pcAnywhere\awhost32.exe

c:\programme\NDAS\System\ndassvc.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\BRMFRSMG.EXE

c:\windows\system32\wscntfy.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\RUNDLL32.EXE

c:\programme\OpenOffice.org 2.2\program\soffice.exe

c:\programme\OpenOffice.org 2.2\program\soffice.BIN

j:\fidelio\program\Ifc7.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-06-05  16:16:51 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-06-05 14:16
 

Vor Suchlauf: 9 Verzeichnis(se), 23.867.580.416 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 23.794.266.112 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - A354CE7D4C4F23CA8D6DA004B2E31CA4

So, ob das jetzt alles soweit OK ist weis ich nicht wirklich, aber der PC läuft.

Danke vielmals!
Gruss,
Winfried

Zitat:

Zitat von Larusso

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

* Bitte arbeite alle Schritte der Reihe nach ab.
* Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
* Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
* Bitte kein Crossposting ( posten in mehreren Foren).
* Bitte keine Code Tags.

Okay gehen wir auf Nummer sicher.

Starte den Rechner neu auf. Du wirst nun einen neuen Eintrag im Bootmenü sehen. Wiederherstellungskonsole
Diese bitte auswählen.
Nun solltest Du ein schwarzes Fenster vor Dir haben wo
C:\windows:>
zu sehen ist.

Hier gib bitte fixmbr ein und drücke enter. Folge gegebenfalls den Anweisungen.

Mit exit wird die Wiederherstellungskonsole verlassen und der Rechner startet neu.

Schritt 2

Downloade die MBR.exe[/B] und
speichere das Programm auf Deinem Desktop.
Mache einen Doppelklick auf das Programm, um es zu starten.
Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
Poste mir den Inhalt dieser Logdatei hier in den Thread.

Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Schritt 4

Starte bitte Gmer erneut und poste mir die Logfile.

Bitte poste in Deiner nächsten Antwort
mbr.log
OTL.txt
Gmer.txt
Berichte wie der Rechner läuft.

Beim Starten der Wiederherstellungskonsole bekomme ich ein Bluscreen mit der Meldung dass Windows heruntergefahren wurde um den PC nicht zu beschädigen und der Aufforderung CHKDSK laufen zu lassen. :teufel1:

Ich habe also MBR nicht laufen lassen können und darum die weiteren Scans auch nicht laufen lassen...

Vorher hatte ich folgende Ergebnisse mit Malwarebytes, es scheint übrigens noch ein Browserhijack auf dem System zu sein und Rootkitactivity scheint auch da zu sein...:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4173
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

06.06.2010 22:27:36

mbam-log-2010-06-06 (22-27-36).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 252386

Laufzeit: 20 Minute(n), 43 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\kgzdy.sys.vir (Rootkit.Agent) -> No action taken.

C:\_OTL\MovedFiles\06052010_062014\C_Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe (Trojan.Agent.Gen) -> No action taken.

C:\_OTL\MovedFiles\06052010_062014\C_WINDOWS\system32\k77a8.dl1 (Trojan.Ertfor) -> No action taken.

und Cofi

Code:

ComboFix 10-06-06.01 - Administrator 06.06.2010  22:40:05.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.748 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\All Users\Anwendungsdaten\sbVWO408.exe

c:\programme\Malwarebytes' Anti-Malware\mbam.exe

c:\programme\UltraVNC\WinVNC.exe
 
 

        Code:


        
 <pre>

c:\programme\Malwarebytes' Anti-Malware\mbam .exe ---^> c:\programme\Malwarebytes' Anti-Malware\mbam.exe

c:\programme\UltraVNC\WinVNC .exe ---^> c:\programme\UltraVNC\WinVNC.exe

</pre>

 
.

Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_winvnc

-------\Service_winvnc
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-05-06 bis 2010-06-06  ))))))))))))))))))))))))))))))

.
 

2010-06-06 20:33 . 2010-06-06 20:33        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes

2010-06-06 16:26 . 2010-06-06 20:44        --------        d-----w-        c:\temp\cdvg.tmp

2010-06-05 13:58 . 2010-06-05 14:17        --------        d-----w-        C:\CoFi

2010-06-05 13:51 . 2010-06-06 20:44        --------        d-----w-        c:\temp\Google Toolbar

2010-06-05 04:20 . 2010-06-05 04:20        --------        d-----w-        C:\_OTL

2010-06-05 03:06 . 2010-06-06 20:54        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        c:\programme\trend micro

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        C:\rsit

2010-06-04 23:29 . 2010-06-04 23:29        --------        d-----w-        c:\windows\system32\nvapps.xml

2010-06-04 20:43 . 2010-06-04 20:43        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2010-06-04 20:31 . 2010-06-04 21:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

2010-05-22 20:24 . 2010-05-22 20:26        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

2010-05-22 20:22 . 2010-05-22 20:33        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

2010-05-22 20:22 . 2010-05-22 20:22        15326        ----a-w-        c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2010-05-22 20:22 . 2010-05-21 08:49        5652144        ----a-w-        c:\windows\system32\SpoonUninstall.exe

2010-05-22 20:22 . 2010-05-22 20:22        --------        d-----w-        c:\programme\dBpoweramp

2010-05-15 09:54 . 2010-05-15 10:08        --------        d-----w-        c:\programme\FormatFactory

2010-05-11 08:43 . 2010-05-11 09:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

2010-05-11 08:43 . 2010-05-11 08:43        --------        d-----w-        c:\programme\Downloader Qobuz
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-06 20:54 . 2007-05-21 13:36        --------        d-----w-        c:\programme\UltraVNC

2010-06-06 20:54 . 2007-06-08 13:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2

2010-06-06 18:36 . 2010-06-06 16:29        112        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat

2010-06-06 16:27 . 2005-01-07 15:07        38916        ----a-w-        c:\windows\system32\HDAShCut.exe

2010-05-08 22:35 . 2009-04-07 20:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss

2010-04-29 13:39 . 2010-02-21 21:03        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-02-21 21:03        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-01 06:15 . 2004-08-04 12:00        63580        ----a-w-        c:\windows\system32\perfc007.dat

2010-04-01 06:15 . 2004-08-04 12:00        391000        ----a-w-        c:\windows\system32\perfh007.dat

2010-03-10 06:15 . 2004-08-04 12:00        420352        ----a-w-        c:\windows\system32\vbscript.dll

.
 

        Code:


        
<pre>

c:\programme\UltraVNC\WinVNC .exe

c:\windows\system32\HDAShCut .exe

</pre>

 
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Octoshape Streaming Services"="c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2010-06-06 38920]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinVNC"="c:\programme\UltraVNC\WinVNC.exe" [2010-06-06 38920]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2010-06-06 38916]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\

OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

f   Micros-Fidelio -  FO Server.lnk - U:\FOSERVER.exe [2007-5-22 14167552]

i    Micros-Fidelio -  Interface.lnk - X:\IFCSTART.BAT [2007-5-21 10929]

NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]

2002-02-15 08:51        24638        ----a-w-        c:\windows\system32\PCANotify.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-18 07:58        40368        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2006-08-11 18:43        1519616        ----a-w-        c:\windows\system32\nwiz.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

2006-05-16 16:04        2879488        ----a-w-        c:\windows\SkyTel.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\UltraVNC\\vncviewer.exe"=

"c:\\Programme\\UltraVNC\\winvnc.exe"=

"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=

"d:\\fidelio\\program\\Ifc7.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"38293:TCP"= 38293:TCP:IP PORT 38293

"1521:TCP"= 1521:TCP:IP PORT 1521

"443:TCP"= 443:TCP:IP PORT 443

"1621:TCP"= 1621:TCP:IP PORT 1621

"5900:TCP"= 5900:TCP:IP PORT 5900

"4400:TCP"= 4400:TCP:IP PORT 4400

"2967:TCP"= 2967:TCP:IP PORT 2967
 

R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]

R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]

R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]

R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]

R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]

R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]

.

Inhalt des "geplante Tasks" Ordners
 

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
 

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-06 22:54

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D2778A]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf7632f28

\Driver\atapi -> atapi.sys @ 0xf7465852

\Driver\iaStor -> iaStor.sys @ 0xf73b0184

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d8dad0

 PacketIndicateHandler -> NDIS.sys @ 0xf72c6a21

 SendHandler -> NDIS.sys @ 0xf72a487b

user & kernel MBR OK 

copy of MBR has been found in sector 0x01D1BC7FF 

malicious code @ sector 0x01D1BC802 !

PE file found in sector at 0x01D1BC818 !
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,a8,21,0b,c6,97,4a,4a,84,b2,14,\

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(1664)

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Symantec\pcAnywhere\awhost32.exe

c:\programme\NDAS\System\ndassvc.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\BRMFRSMG.EXE

c:\windows\system32\wscntfy.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\RUNDLL32.EXE

c:\programme\OpenOffice.org 2.2\program\soffice.exe

c:\programme\OpenOffice.org 2.2\program\soffice.BIN

j:\fidelio\program\Ifc7.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-06-06  22:58:47 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-06-06 20:58

ComboFix2.txt  2010-06-05 14:16
 

Vor Suchlauf: 10 Verzeichnis(se), 23.816.163.328 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 23.805.665.280 Bytes frei
 

- - End Of File - - D4025B5E712369E0F9CB8EE44117C727

Beim Normalstart von Windows funktioniert alles, bis auf diese komische Meldung:

http://www.abload.de/img/winvnc3hwr.jpg

Was soll ich machen??

Gruss,
Winfried

Ich habe wegen des Browser Hijacks den ich sehe, ESET NOD32 installiert, lasse es gerade laufen und es hat

W32/Mebroot.mbr

gefunden, kann das aber nicht beseitigen. Hier scheint hier noch ein dickes Problem zu sein....

Malwarebytes hatte das nicht angezeigt, auch das Browserhijack wird nicht (mehr) angezeigt, ich kriege aber öfters unerwünschte redirects!

Ich hoffe Ihr könnt mir weiterhelfen!

Danke vielmals,
Gruss,
Winfried

Wer hat was von COmbofix gesagt ?
Ich wars nicht :rolleyes:

Die Funde von Malwarebytes sind in QuarantäneOrdnern der Tools.

Zitat:

Zitat von Larusso

# Bitte arbeite alle Schritte der Reihe nach ab.
# Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
# Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.

Ist dir diese Software bekannt bzw bewusst Installiert?
UltraVNC

Hast Du eine Festplattenverschlüsselung oder einen DELL PC ?
Was spricht gegen ein neu aufsetzen ?

Ist der Rechner in gewerblicher Nutzung ?

Hallo Daniel,

UltraVNC ist ein Programm, das für Remote Services eines Softwarelieferanten installiert wurde. Aber auf der Meldung stand doch WinVNC...

Neuaufsetzen möchte ich nur im äussersten Notfall, das wäre eine grosse Sache.

Der PC ist ein Celsius von Fujitsu-Siemens, Festplattenverschlüsselung habe ich nicht, aber eine Festplattenspiegelung.

Cofi habe ich wegen des Posts 05.06.2010 14:26 nochmals laufen lassen; ich hoffe kein zu schwerwiegender Fehler...

Ja, teilweise ist der PC in gewerblicher Nutzung.

Gruss,
Winfried

CF hat dir diese Datei gelöscht
c:\programme\UltraVNC\WinVNC.exe

Darum die Frage und wahrscheinlich darum die Fehlermeldung.

Ganz ehrlich, bei ner MBR infection würde ich bei teilweiser gewerblicher Nutzung nicht lange spielen und formatieren.

Und die Infection scheint nicht gerade sparsam zu sein, Malware nachzuladen.
Helfen darf ich Dir weiterhin, aber ein Formatieren würde ich Dir ans Herz legen.

Für den Fall dass Du doch bereinigen willst, sichere zu allererst alle wichtigen Daten.
Keine ausführbaren Dateien mitsichern !!!

Downloade die MBR.exe und
speichere das Programm auf Deinem Desktop.
Mache einen Doppelklick auf das Programm, um es zu starten.
Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
Poste mir den Inhalt dieser Logdatei hier in den Thread.

Hallo Daniel,

UltraVNC sollte kein Problem sein, das kann man wieder installieren, falls es gebraucht wird.

Hier der MBR.log:

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

copy of MBR has been found in sector 0x01D1BC7FF 

malicious code @ sector 0x01D1BC802 !

PE file found in sector at 0x01D1BC818 !

Ich möchte zunächst versuchen, den MBR zu reparieren.

Gruss,
Winfried

Du hattest doch schon mal mit Myrtille das Vergnügen oder ;)

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code:

KillAll:: RenV:: c:\programme\UltraVNC\WinVNC .exe c:\windows\system32\HDAShCut .exe MBR::
Speichere dies als CFScript.txt auf Deinem Desktop
.
http://i266.photobucket.com/albums/i.../CFScriptB.gif
.
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt 2

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte poste in Deiner nächsten Antwort
Combofix.txt
Gmer.txt
OTL.txt

OK, der Virenscanner meckert immernoch den Masterbootrecord von Volume 0 und den Arbeitsspeicher mit W32/Mebroot an... Und ein Prozess temp\thlj.tmp\svchost.exe fängt im DOS Fenster an den Drucker zu beschicken... Ich habe diesen Prozess gestoppt und C:\temp soweit wie möglich geleert. Es befindet sich darin ein (versteckter?) Temporary Internet Files Ordner, der sich nicht löschen lässt, diesen habe ich geleert.

Hier die gewünschten Logs:

Code:

ComboFix 10-06-07.03 - Administrator 08.06.2010   1:09.3.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.690 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CFScript.txt

AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-05-07 bis 2010-06-07  ))))))))))))))))))))))))))))))

.
 

2010-06-07 23:17 . 2010-06-07 23:17        --------        d-----w-        c:\temp\sv148.tmp

2010-06-07 21:33 . 2010-06-07 23:13        --------        d-----w-        c:\temp\icyp.tmp

2010-06-07 10:23 . 2010-06-07 10:23        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET

2010-06-07 10:19 . 2010-06-07 10:19        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET

2010-06-07 10:16 . 2010-06-07 10:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET

2010-06-07 09:57 . 2010-06-07 10:17        --------        d-----w-        c:\programme\ESET Antivirus

2010-06-07 09:15 . 2010-06-07 09:23        --------        d-----w-        c:\temp\hsperfdata_SYSTEM

2010-06-07 09:03 . 2010-06-07 19:20        --------        d-----w-        c:\temp\hsperfdata_Administrator

2010-06-07 08:59 . 2010-06-07 23:13        --------        d-----w-        c:\temp\Google Toolbar

2010-06-07 01:01 . 2010-06-07 05:27        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

2010-06-07 00:00 . 2010-06-07 00:00        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\PrivacIE

2010-06-07 00:00 . 2010-06-07 00:00        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten

2010-06-06 20:33 . 2010-06-06 20:58        --------        d-----w-        C:\CoFi3249C

2010-06-06 20:33 . 2010-06-06 20:33        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes

2010-06-05 13:58 . 2010-06-05 14:17        --------        d-----w-        C:\CoFi

2010-06-05 04:20 . 2010-06-05 04:20        --------        d-----w-        C:\_OTL

2010-06-05 03:06 . 2010-06-06 20:54        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        c:\programme\trend micro

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        C:\rsit

2010-06-04 23:29 . 2010-06-04 23:29        --------        d-----w-        c:\windows\system32\nvapps.xml

2010-06-04 20:43 . 2010-06-04 20:43        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2010-06-04 20:31 . 2010-06-04 21:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

2010-05-22 20:24 . 2010-05-22 20:26        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

2010-05-22 20:22 . 2010-05-22 20:33        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

2010-05-22 20:22 . 2010-05-22 20:22        15326        ----a-w-        c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2010-05-22 20:22 . 2010-05-21 08:49        5652144        ----a-w-        c:\windows\system32\SpoonUninstall.exe

2010-05-22 20:22 . 2010-05-22 20:22        --------        d-----w-        c:\programme\dBpoweramp

2010-05-15 09:54 . 2010-05-15 10:08        --------        d-----w-        c:\programme\FormatFactory

2010-05-11 08:43 . 2010-05-11 09:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

2010-05-11 08:43 . 2010-05-11 08:43        --------        d-----w-        c:\programme\Downloader Qobuz
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-07 23:17 . 2007-06-08 13:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2

2010-06-07 23:08 . 2007-05-21 13:36        --------        d-----w-        c:\programme\UltraVNC

2010-06-07 09:29 . 2010-06-06 16:29        112        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat

2010-05-08 22:35 . 2009-04-07 20:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss

2010-04-29 13:39 . 2010-02-21 21:03        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-02-21 21:03        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-07 19:09 . 2010-04-07 19:09        95872        ----a-w-        c:\windows\system32\drivers\epfwtdir.sys

2010-04-07 19:08 . 2010-04-07 19:08        114984        ----a-w-        c:\windows\system32\drivers\ehdrv.sys

2010-04-07 19:05 . 2010-04-07 19:05        140216        ----a-w-        c:\windows\system32\drivers\eamon.sys

2010-04-01 06:15 . 2004-08-04 12:00        63580        ----a-w-        c:\windows\system32\perfc007.dat

2010-04-01 06:15 . 2004-08-04 12:00        391000        ----a-w-        c:\windows\system32\perfh007.dat

2010-03-10 06:15 . 2004-08-04 12:00        420352        ----a-w-        c:\windows\system32\vbscript.dll

.
 

(((((((((((((((((((((((((((((   SnapShot@2010-06-05_14.14.05   )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-06-07 10:17 . 2010-06-07 10:17        10134              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\callmsi.exe

+ 2010-06-07 10:17 . 2010-06-07 10:17        963072              c:\windows\Installer\2c884fa.msi

+ 2010-06-07 10:17 . 2010-06-07 10:17        101480              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\egui.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]

"egui"="c:\programme\ESET Antivirus\egui.exe" [2010-04-07 2145000]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\

OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

f   Micros-Fidelio -  FO Server.lnk - d:\fidelio\program\FOSERVER.EXE [2007-5-22 14167552]

i    Micros-Fidelio -  Interface.lnk - d:\batch\IFCSTART.BAT [2007-5-21 10929]

NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]

2002-02-15 08:51        24638        ----a-w-        c:\windows\system32\PCANotify.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-18 07:58        40368        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2006-08-11 18:43        1519616        ----a-w-        c:\windows\system32\nwiz.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

2006-05-16 16:04        2879488        ----a-w-        c:\windows\SkyTel.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\UltraVNC\\vncviewer.exe"=

"c:\\Programme\\UltraVNC\\winvnc.exe"=

"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=

"c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=

"d:\\fidelio\\program\\Ifc7.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"38293:TCP"= 38293:TCP:IP PORT 38293

"1521:TCP"= 1521:TCP:IP PORT 1521

"443:TCP"= 443:TCP:IP PORT 443

"1621:TCP"= 1621:TCP:IP PORT 1621

"5900:TCP"= 5900:TCP:IP PORT 5900

"4400:TCP"= 4400:TCP:IP PORT 4400

"2967:TCP"= 2967:TCP:IP PORT 2967
 

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:08 114984]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:09 95872]

R2 ekrn;ESET Service;c:\programme\ESET Antivirus\ekrn.exe [07.04.2010 21:08 810120]

R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]

R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]

R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]

R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]

R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]

R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]

.

Inhalt des "geplante Tasks" Ordners
 

2010-06-07 c:\windows\Tasks\Fidelio Folio spool fo_data Sicherung.job

- c:\windows\system32\ntbackup.exe [2004-08-04 02:22]
 

2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
 

2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-08 01:17

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D0F78A]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf75f4f28

\Driver\atapi -> atapi.sys @ 0xf7427852

\Driver\iaStor -> iaStor.sys @ 0xf7372184

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d75ad0

 PacketIndicateHandler -> NDIS.sys @ 0xf726aa0d

 SendHandler -> NDIS.sys @ 0xf727eb40

user & kernel MBR OK 

copy of MBR has been found in sector 0x01D1BC7FF 

malicious code @ sector 0x01D1BC802 !

PE file found in sector at 0x01D1BC818 !
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,a8,21,0b,c6,97,4a,4a,84,b2,14,\

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(792)

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Symantec\pcAnywhere\awhost32.exe

c:\programme\NDAS\System\ndassvc.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\BRMFRSMG.EXE

c:\windows\RTHDCPL.EXE

c:\windows\system32\RUNDLL32.EXE

c:\programme\OpenOffice.org 2.2\program\soffice.exe

c:\programme\OpenOffice.org 2.2\program\soffice.BIN

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-06-08  01:22:56 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-06-07 23:22

ComboFix2.txt  2010-06-06 20:58

ComboFix3.txt  2010-06-05 14:16
 

Vor Suchlauf: 11 Verzeichnis(se), 23.498.203.136 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 23.516.995.584 Bytes frei
 

- - End Of File - - 54E7E8E2DC72747240C4FDD9B82066B9

GMER
GMER Logfile:
GMER Logfile:
GMER Logfile:
GMER Logfile:

Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-06-08 01:53:20

Windows 5.1.2600 Service Pack 3

Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwAssignProcessToJobObject [0xED0B1610]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwDebugActiveProcess [0xED0B1C10]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwDuplicateObject [0xED0B1730]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwOpenProcess [0xED0B14B0]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwOpenThread [0xED0B1570]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwProtectVirtualMemory [0xED0B16D0]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSetContextThread [0xED0B1690]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSetInformationThread [0xED0B1650]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSetSecurityObject [0xED0B17D0]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSuspendProcess [0xED0B1510]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSuspendThread [0xED0B1590]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwTerminateProcess [0xED0B14D0]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwTerminateThread [0xED0B15D0]

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwWriteVirtualMemory [0xED0B1750]
 

---- Kernel code sections - GMER 1.0.15 ----
 

?                                                                                                                                     Combo-Fix.sys                                                                        Das System kann die angegebene Datei nicht finden. !

.text                                                                                                                                 C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                             section is writeable [0xF6088360, 0x24526E, 0xE8000020]

.text                                                                                                                                 C:\WINDOWS\system32\drivers\hardlock.sys                                             section is writeable [0xBAB4F400, 0x87EE2, 0xE8000020]

.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBABF3620]  C:\WINDOWS\system32\drivers\hardlock.sys                                             entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBABF3620]

.protectÿÿÿÿhardlockunknown last code section [0xBABF3400, 0x5126, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                             unknown last code section [0xBABF3400, 0x5126, 0xE0000020]

?                                                                                                                                     c:\Temp\mbr.sys                                                                      Das System kann die angegebene Datei nicht finden. !

?                                                                                                                                     C:\CoFi23257C\catchme.sys                                                            Das System kann den angegebenen Pfad nicht finden. !

?                                                                                                                                     C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                           Das System kann die angegebene Datei nicht finden. !
 

---- User code sections - GMER 1.0.15 ----
 

.text                                                                                                                                 C:\WINDOWS\explorer.exe[792] ntdll.dll!NtProtectVirtualMemory                        7C91D6EE 5 Bytes  JMP 00B8000A 

.text                                                                                                                                 C:\WINDOWS\explorer.exe[792] ntdll.dll!NtWriteVirtualMemory                          7C91DFAE 5 Bytes  JMP 00BE000A 

.text                                                                                                                                 C:\WINDOWS\explorer.exe[792] ntdll.dll!KiUserExceptionDispatcher                     7C91E47C 5 Bytes  JMP 00B7000C 

.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!NtProtectVirtualMemory               7C91D6EE 5 Bytes  JMP 006E000A 

.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!NtWriteVirtualMemory                 7C91DFAE 5 Bytes  JMP 006F000A 

.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!KiUserExceptionDispatcher            7C91E47C 5 Bytes  JMP 006D000C 

.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] USER32.dll!GetCursorPos                        7E37974E 5 Bytes  JMP 0068000A 

.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ole32.dll!CoCreateInstance                     774D057E 5 Bytes  JMP 00E3000A 

.text                                                                                                                                 C:\Programme\ESET Antivirus\ekrn.exe[1684] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 4 Bytes  [C2, 04, 00, 00]
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice                                                                                                                        \FileSystem\Ntfs \Ntfs                                                               lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)

AttachedDevice                                                                                                                        \FileSystem\Ntfs \Ntfs                                                               eamon.sys (Amon monitor/ESET)

AttachedDevice                                                                                                                        \Driver\Tcpip \Device\Tcp                                                            epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
 

Device                                                                                                                                \Driver\aksusb \Device\0000005b                                                      AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)
 

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                             lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                             eamon.sys (Amon monitor/ESET)
 

---- EOF - GMER 1.0.15 ----

[/CODE]
--- --- ---

--- --- ---

--- --- ---

--- --- ---

OTL.txt

Code:

OTL logfile created on: 08.06.2010 02:04:07 - Run 2

OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.022,00 Mb Total Physical Memory | 648,00 Mb Available Physical Memory | 63,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 88,00% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 29,29 Gb Total Space | 21,93 Gb Free Space | 74,87% Space Free | Partition Type: NTFS

Drive D: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

Drive F: | 29,29 Gb Total Space | 21,93 Gb Free Space | 74,87% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

Drive H: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

I: Drive not present or media not loaded

Drive J: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive L: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive Q: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive T: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive U: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive V: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive X: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive Y: | 232,88 Gb Total Space | 231,41 Gb Free Space | 99,37% Space Free | Partition Type: NTFS

Drive Z: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

 

Computer Name: MFSRV01

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: On

Skip Microsoft Files: On

File Age = 90 Days

Output = Standard

Quick Scan

 
 ========== Processes (SafeList) ==========

 

PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

PRC - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\ekrn.exe

PRC - [2010.04.07 21:08:30 | 002,145,000 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\egui.exe

PRC - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) -- C:\Programme\HospiX Entry\g4.exe

PRC - [2008.04.14 04:22:56 | 000,422,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntvdm.exe

PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2008.04.14 04:22:38 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe

PRC - [2007.07.20 09:37:44 | 001,567,744 | ---- | M] (Micros-Fidelio (Ireland) Ltd.) -- J:\fidelio\program\Ifc7.exe

PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin

PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe

PRC - [2006.07.14 14:52:44 | 014,167,552 | ---- | M] (Fidelio Research) -- U:\FOSERVER.EXE

PRC - [2005.03.31 02:33:20 | 000,180,224 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndasmgmt.exe

PRC - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndassvc.exe

PRC - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE

PRC - [2001.08.18 04:54:46 | 000,032,256 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\BrmfRsmg.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2010.04.07 21:13:20 | 000,033,560 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Programme\ESET Antivirus\EHttpSrv.exe -- (EhttpSrv)

SRV - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) [Auto | Running] -- C:\Programme\ESET Antivirus\ekrn.exe -- (ekrn)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)

SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Running] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)

SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)

DRV - [2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)

DRV - [2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)

DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)

DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)

DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent)

DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)

DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)

DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)

DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)

DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)

DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)

DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)

DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)

DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)

DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)

DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)

DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)

DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)

DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST)

DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa)

DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)

DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)

DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)

DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)

DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)

DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)

DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555

 

FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET Antivirus\Mozilla Thunderbird [2010.06.07 12:16:42 | 000,000,000 | ---D | M]

 

 

O1 HOSTS File: ([2010.06.08 01:16:50 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O4 - HKLM..\Run: [egui] C:\Programme\ESET Antivirus\egui.exe (ESET)

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)

O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk = D:\fidelio\program\FOSERVER.EXE (Fidelio Research)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk = D:\batch\IFCSTART.BAT ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)

O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2000.05.04 22:24:18 | 000,000,438 | ---- | M] () - V:\AUTOEXEC.NT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 90 Days ==========

 

[2010.06.08 01:23:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp

[2010.06.07 12:23:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET

[2010.06.07 12:19:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET

[2010.06.07 12:16:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET

[2010.06.07 11:57:43 | 000,000,000 | ---D | C] -- C:\Programme\ESET Antivirus

[2010.06.07 10:33:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent

[2010.06.07 03:01:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

[2010.06.07 03:01:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun

[2010.06.06 22:33:31 | 000,000,000 | ---D | C] -- C:\CoFi3249C

[2010.06.06 22:33:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Malwarebytes

[2010.06.05 16:00:28 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2010.06.05 15:59:12 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2010.06.05 15:59:12 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2010.06.05 15:59:12 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2010.06.05 15:59:12 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2010.06.05 15:58:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2010.06.05 15:58:56 | 000,000,000 | ---D | C] -- C:\CoFi

[2010.06.05 15:58:26 | 000,000,000 | ---D | C] -- C:\Qoobox

[2010.06.05 08:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia

[2010.06.05 06:20:14 | 000,000,000 | ---D | C] -- C:\_OTL

[2010.06.05 05:06:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.06.05 04:36:51 | 000,000,000 | ---D | C] -- C:\Programme\trend micro

[2010.06.05 04:36:44 | 000,000,000 | ---D | C] -- C:\rsit

[2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml

[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe

[2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp

[2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput

[2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll

[2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory

[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz

[2010.04.07 21:09:48 | 000,095,872 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\epfwtdir.sys

[2010.04.07 21:08:36 | 000,114,984 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\ehdrv.sys

[2010.04.07 21:05:12 | 000,140,216 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\eamon.sys

[2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1

[2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR

[2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager

[2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC

[2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy

 
 ========== Files - Modified Within 90 Days ==========

 

[2010.06.08 02:03:39 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini

[2010.06.08 02:01:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.06.08 02:01:58 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.06.08 02:01:52 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini

[2010.06.08 02:01:47 | 000,000,000 | ---- | M] () -- C:\WINDOWS\hlktmp

[2010.06.08 02:01:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.06.08 02:01:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.06.08 01:55:10 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT

[2010.06.08 01:55:09 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini

[2010.06.08 01:55:02 | 003,782,688 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db

[2010.06.08 01:18:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.06.08 01:17:24 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini

[2010.06.08 01:16:50 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2010.06.08 01:08:28 | 000,000,653 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk

[2010.06.08 01:08:28 | 000,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk

[2010.06.08 00:15:16 | 003,704,271 | R--- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

[2010.06.07 19:57:22 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe

[2010.06.07 13:45:40 | 000,001,030 | ---- | M] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job

[2010.06.07 11:29:16 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat

[2010.06.06 18:32:45 | 000,000,000 | ---- | M] () -- C:\debug

[2010.06.05 16:00:33 | 000,000,281 | RHS- | M] () -- C:\boot.ini

[2010.06.05 05:06:15 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.06.05 03:58:32 | 000,824,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe

[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com

[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe

[2010.06.05 02:06:38 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe

[2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1

[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls

[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF

[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat

[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp

[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe

[2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk

[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.04.26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe

[2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f   Micros-Fidelio -  FO Server.lnk

[2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\epfwtdir.sys

[2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\ehdrv.sys

[2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\eamon.sys

[2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk

[2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk

[2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk

[2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

 
 ========== Files Created - No Company Name ==========

 

[2010.06.08 00:15:27 | 003,704,271 | R--- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

[2010.06.07 11:51:52 | 000,001,030 | ---- | C] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job

[2010.06.06 23:04:33 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe

[2010.06.06 18:32:45 | 000,000,000 | ---- | C] () -- C:\debug

[2010.06.06 18:29:19 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat

[2010.06.05 16:00:33 | 000,000,211 | ---- | C] () -- C:\Boot.bak

[2010.06.05 16:00:29 | 000,262,448 | ---- | C] () -- C:\cmldr

[2010.06.05 15:59:12 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2010.06.05 15:59:12 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2010.06.05 15:59:12 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2010.06.05 15:59:12 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2010.06.05 15:59:12 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2010.06.05 04:57:55 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com

[2010.06.05 04:34:26 | 000,824,681 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe

[2010.06.05 02:54:27 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe

[2010.06.05 02:25:24 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe

[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe

[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp

[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat

[2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk

[2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk

[2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk

[2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk

[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini

[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini

[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll

[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll

[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll

[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll

[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll

[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll

[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll

[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll

[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll

 
 ========== LOP Check ==========

 

[2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics

[2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1

[2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid

[2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

[2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

[2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

[2010.06.07 12:16:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET

[2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS

[2010.06.07 13:45:40 | 000,001,030 | ---- | M] () -- C:\WINDOWS\Tasks\Fidelio Folio spool fo_data Sicherung.job

 
 ========== Purity Check ==========

 

 

< End of report >

So, jetzt mal wieder ne Mütze voll Schlaf. "Keeping fingers crossed".

Danke auf jeden Fall, wir scheinen aber noch nicht am Ziel zu sein...

Gruss,
Winfried

Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Schritt 2

Downloade Dir bitte bootkit_remover]Bootkit_remover[/url]. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen

Schritt 3

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

Code:

netsvcs

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

%systemdrive%\svchost.exe /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\system32\drivers\*.sys /90

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

svchost.exe /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Note: Die OTL Log könnte etwas größer werden. Wenn sie nicht rein passt lade sie bei File-Upload hoch und poste mir den Downloadlink

Bitte poste in Deiner nächsten Antwort
Ergebniss von Bootkit Remover
OTL.txt

Hallo Daniel,

ich hab das probiert, leider komplett unerwartete Ergebnisse:

TFC fand nichts zum Löschen.

Bootkitremover bringt Fehlermeldungen.

http://www.abload.de/img/bootkitn2fp.jpg

Und OTL hängt nach einer Weile einfach.

http://www.abload.de/img/otlhangk2h8.jpg

Was nun? :crazy:

Danke und Gruss,
Winfried

Schritt 1

Windows + R Taste --> cmd (eingeben --> OK
Es sollte sich ein schwarzes Fenster öffnen. Hier bitte folgendes eingeben

Start remover.exe fix \\.\PhysicalDrive0

Berichte ob es geklappt hat.

Hallo Daniel,

ich bin jetzt erst zum weitermachen gekommen. :dummguck:

Nachdem ich TFC laufen liess, habe ich die CMD so ausgeführt wie angegeben. Nach Neustart wurde MebRoot wiedergefunden, also habe ich die CMD Sequenz nochmal gemacht und den PC nochmal neu gestartet.

Alles startete danach normal, aber eine "Geänderte Systemeinstellung: Die Installation neuer Geräte wurde fertiggestellt..." wurde gemeldet und ich solle den PC jetzt neu starten, damit die Änderung wirksam wird. Ich habe aber gar nichts geändert und deshalb erstmal "Nein" gewählt und warte erstmal auf Deine Antwort bevor ich neu boote. Vielleicht ist ja hier was im Busch...

ESET NOD23 fnndet den Mebroot übrigens bisher noch nicht wieder... Da schöpfe ich schonmal etwas Hoffnung.

Also bis bald! Ich denke wir können's jetzt wohl dann schaffen.

Danke und Gruss,
Winfried

Letzten Logfiles sind über 5 Tage her. Ich brauch neue.

Lösche bitte die vorhandene ComboFix.exe und lade sie dir von hier erneut herunter.
Speichere diese auf dem Desktop, schließe alle laufenden Programme und deaktiviere den Hintergrundwächter deiner AntiViren-Software.

Schritt 2

Lösche ebenfalls die vorhandene OTL.exe

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

Code:

netsvcs

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

svchost /rs

%systemdrive%\svchost.exe /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\drivers\*.sys /90

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
Combofix.txt
OTL.txt

Hallo Daniel,

danke für die Antwort!

also hier ist das Cofi Log:

Code:

ComboFix 10-06-14.02 - Administrator 14.06.2010  23:17:40.4.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.707 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

 * Im Speicher befindliches AV aktiv.
 

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-05-14 bis 2010-06-14  ))))))))))))))))))))))))))))))

.
 

2010-06-14 21:20 . 2010-06-14 21:20        53248        ----a-w-        c:\temp\catchme.dll

2010-06-14 19:03 . 2010-06-14 21:19        --------        d-----w-        c:\temp\Google Toolbar

2010-06-14 03:14 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll

2010-06-13 22:51 . 2010-06-13 22:51        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help

2010-06-08 23:44 . 2009-10-03 17:06        499712        ----a-w-        C:\remover.exe

2010-06-08 14:28 . 2010-06-08 14:28        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET

2010-06-07 10:23 . 2010-06-07 10:23        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET

2010-06-07 10:19 . 2010-06-07 10:19        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET

2010-06-07 10:16 . 2010-06-07 10:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET

2010-06-07 09:57 . 2010-06-07 10:17        --------        d-----w-        c:\programme\ESET Antivirus

2010-06-07 01:01 . 2010-06-07 05:27        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

2010-06-07 00:00 . 2010-06-07 00:00        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\PrivacIE

2010-06-07 00:00 . 2010-06-07 00:00        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten

2010-06-06 20:33 . 2010-06-06 20:58        --------        d-----w-        C:\CoFi3249C

2010-06-06 20:33 . 2010-06-06 20:33        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes

2010-06-05 13:58 . 2010-06-05 14:17        --------        d-----w-        C:\CoFi

2010-06-05 04:20 . 2010-06-05 04:20        --------        d-----w-        C:\_OTL

2010-06-05 03:06 . 2010-06-06 20:54        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        c:\programme\trend micro

2010-06-05 02:36 . 2010-06-05 02:36        --------        d-----w-        C:\rsit

2010-06-04 23:29 . 2010-06-04 23:29        --------        d-----w-        c:\windows\system32\nvapps.xml

2010-06-04 20:43 . 2010-06-04 20:43        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2010-05-22 20:24 . 2010-05-22 20:26        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

2010-05-22 20:22 . 2010-05-22 20:33        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

2010-05-22 20:22 . 2010-05-22 20:22        15326        ----a-w-        c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2010-05-22 20:22 . 2010-05-21 08:49        5652144        ----a-w-        c:\windows\system32\SpoonUninstall.exe

2010-05-22 20:22 . 2010-05-22 20:22        --------        d-----w-        c:\programme\dBpoweramp
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-14 16:26 . 2007-06-08 13:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2

2010-06-14 16:25 . 2007-05-21 15:04        --------        d-----w-        c:\programme\Symantec

2010-06-14 07:58 . 2007-09-22 20:32        --------        d-----w-        c:\programme\Google

2010-06-13 22:55 . 2007-05-21 15:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec

2010-06-13 22:55 . 2007-05-21 15:04        --------        d-----w-        c:\programme\Gemeinsame Dateien\Symantec Shared

2010-06-13 22:52 . 2007-10-19 20:59        --------        d-----w-        c:\programme\CPUID

2010-06-07 23:08 . 2007-05-21 13:36        --------        d-----w-        c:\programme\UltraVNC

2010-06-07 09:29 . 2010-06-06 16:29        112        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat

2010-05-15 10:08 . 2010-05-15 09:54        --------        d-----w-        c:\programme\FormatFactory

2010-05-11 09:11 . 2010-05-11 08:43        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz

2010-05-11 08:43 . 2010-05-11 08:43        --------        d-----w-        c:\programme\Downloader Qobuz

2010-05-08 22:35 . 2009-04-07 20:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss

2010-05-06 10:31 . 2004-08-04 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-05-02 08:05 . 2005-10-06 03:08        1851392        ----a-w-        c:\windows\system32\win32k.sys

2010-04-29 13:39 . 2010-02-21 21:03        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-02-21 21:03        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-20 05:29 . 2004-08-04 12:00        285696        ----a-w-        c:\windows\system32\atmfd.dll

2010-04-07 19:09 . 2010-04-07 19:09        95872        ----a-w-        c:\windows\system32\drivers\epfwtdir.sys

2010-04-07 19:08 . 2010-04-07 19:08        114984        ----a-w-        c:\windows\system32\drivers\ehdrv.sys

2010-04-07 19:05 . 2010-04-07 19:05        140216        ----a-w-        c:\windows\system32\drivers\eamon.sys

2010-04-01 06:15 . 2004-08-04 12:00        63580        ----a-w-        c:\windows\system32\perfc007.dat

2010-04-01 06:15 . 2004-08-04 12:00        391000        ----a-w-        c:\windows\system32\perfh007.dat

.
 

(((((((((((((((((((((((((((((   SnapShot@2010-06-05_14.14.05   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-11-05 20:17 . 2009-11-05 20:17        11600              c:\windows\system32\mui\0409\mscorees.dll

+ 2009-03-08 02:31 . 2010-05-06 10:31        55296              c:\windows\system32\msfeedsbs.dll

- 2009-03-08 02:31 . 2010-02-25 06:15        55296              c:\windows\system32\msfeedsbs.dll

- 2004-08-04 12:00 . 2010-02-25 06:15        25600              c:\windows\system32\jsproxy.dll

+ 2004-08-04 12:00 . 2010-05-06 10:31        25600              c:\windows\system32\jsproxy.dll

- 2009-09-05 22:15 . 2010-02-25 06:15        12800              c:\windows\system32\dllcache\xpshims.dll

+ 2009-09-05 22:15 . 2010-05-06 10:31        12800              c:\windows\system32\dllcache\xpshims.dll

- 2009-09-05 22:15 . 2010-02-25 06:15        55296              c:\windows\system32\dllcache\msfeedsbs.dll

+ 2009-09-05 22:15 . 2010-05-06 10:31        55296              c:\windows\system32\dllcache\msfeedsbs.dll

+ 2009-03-08 02:33 . 2010-05-06 10:31        25600              c:\windows\system32\dllcache\jsproxy.dll

- 2009-03-08 02:33 . 2010-02-25 06:15        25600              c:\windows\system32\dllcache\jsproxy.dll

+ 2010-03-05 14:37 . 2010-03-05 14:37        65536              c:\windows\system32\dllcache\asycfilt.dll

+ 2004-08-04 12:00 . 2010-03-05 14:37        65536              c:\windows\system32\asycfilt.dll

+ 2010-04-01 09:42 . 2010-04-01 09:42        81920              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.Security.dll

- 2008-05-27 22:49 . 2008-05-27 22:49        77824              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll

+ 2010-03-31 12:51 . 2010-03-31 12:51        77824              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll

+ 2010-03-31 12:51 . 2010-03-31 12:51        86016              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorie.dll

- 2008-05-27 22:49 . 2008-05-27 22:49        86016              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorie.dll

+ 2010-03-31 12:51 . 2010-03-31 12:51        81920              c:\windows\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll

- 2008-05-27 22:49 . 2008-05-27 22:49        81920              c:\windows\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll

+ 2010-03-31 13:32 . 2010-03-31 13:32        32768              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe

- 2008-05-27 23:30 . 2008-05-27 23:30        32768              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe

+ 2010-03-31 13:32 . 2010-03-31 13:32        24576              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_filter.dll

- 2003-02-20 17:19 . 2003-02-20 17:19        24576              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_filter.dll

+ 2010-06-07 10:17 . 2010-06-07 10:17        10134              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\callmsi.exe

+ 2010-06-14 15:09 . 2010-02-25 06:15        12800              c:\windows\ie8updates\KB982381-IE8\xpshims.dll

+ 2010-06-14 15:09 . 2010-02-25 06:15        55296              c:\windows\ie8updates\KB982381-IE8\msfeedsbs.dll

+ 2010-06-14 15:09 . 2010-02-25 06:15        25600              c:\windows\ie8updates\KB982381-IE8\jsproxy.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        90112              c:\windows\assembly\NativeImages1_v1.1.4322\System.Drawing.Design\1.0.5000.0__b03f5f7f11d50a3a_3d255424\System.Drawing.Design.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        61440              c:\windows\assembly\NativeImages1_v1.1.4322\CustomMarshalers\1.0.5000.0__b03f5f7f11d50a3a_daa42085\CustomMarshalers.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        81920              c:\windows\assembly\GAC\System.Security\1.0.5000.0__b03f5f7f11d50a3a\System.Security.dll

+ 2004-08-04 12:00 . 2010-05-06 10:31        206848              c:\windows\system32\occache.dll

- 2004-08-04 12:00 . 2010-02-25 06:15        206848              c:\windows\system32\occache.dll

+ 2004-08-04 12:00 . 2010-05-06 10:31        611840              c:\windows\system32\mstime.dll

- 2004-08-04 12:00 . 2010-02-25 06:15        611840              c:\windows\system32\mstime.dll

+ 2009-03-08 02:32 . 2010-05-06 10:31        599040              c:\windows\system32\msfeeds.dll

- 2004-08-04 12:00 . 2010-02-25 06:14        184320              c:\windows\system32\iepeers.dll

+ 2004-08-04 12:00 . 2010-05-06 10:31        184320              c:\windows\system32\iepeers.dll

- 2004-08-04 12:00 . 2010-02-25 06:14        387584              c:\windows\system32\iedkcs32.dll

+ 2004-08-04 12:00 . 2010-05-06 10:31        387584              c:\windows\system32\iedkcs32.dll

+ 2004-08-04 12:00 . 2010-05-05 13:30        173056              c:\windows\system32\ie4uinit.exe

- 2004-08-04 12:00 . 2010-02-24 09:53        173056              c:\windows\system32\ie4uinit.exe

+ 2007-05-17 14:24 . 2010-06-14 16:25        107008              c:\windows\system32\FNTCACHE.DAT

- 2007-05-17 14:24 . 2009-11-19 22:05        107008              c:\windows\system32\FNTCACHE.DAT

+ 2008-04-21 06:42 . 2010-05-06 10:31        916480              c:\windows\system32\dllcache\wininet.dll

- 2008-04-21 06:42 . 2010-02-25 06:15        916480              c:\windows\system32\dllcache\wininet.dll

- 2009-03-08 02:34 . 2010-02-25 06:15        206848              c:\windows\system32\dllcache\occache.dll

+ 2009-03-08 02:34 . 2010-05-06 10:31        206848              c:\windows\system32\dllcache\occache.dll

- 2009-03-08 02:32 . 2010-02-25 06:15        611840              c:\windows\system32\dllcache\mstime.dll

+ 2009-03-08 02:32 . 2010-05-06 10:31        611840              c:\windows\system32\dllcache\mstime.dll

+ 2009-09-05 22:15 . 2010-05-06 10:31        599040              c:\windows\system32\dllcache\msfeeds.dll

+ 2009-09-05 22:15 . 2010-05-06 10:31        247808              c:\windows\system32\dllcache\ieproxy.dll

- 2009-09-05 22:15 . 2010-02-25 06:14        247808              c:\windows\system32\dllcache\ieproxy.dll

+ 2009-03-08 02:31 . 2010-05-06 10:31        184320              c:\windows\system32\dllcache\iepeers.dll

- 2009-03-08 02:31 . 2010-02-25 06:14        184320              c:\windows\system32\dllcache\iepeers.dll

- 2009-03-08 12:09 . 2010-02-25 06:14        387584              c:\windows\system32\dllcache\iedkcs32.dll

+ 2009-03-08 12:09 . 2010-05-06 10:31        387584              c:\windows\system32\dllcache\iedkcs32.dll

- 2009-03-08 02:32 . 2010-02-24 09:53        173056              c:\windows\system32\dllcache\ie4uinit.exe

+ 2009-03-08 02:32 . 2010-05-05 13:30        173056              c:\windows\system32\dllcache\ie4uinit.exe

+ 2010-04-20 05:29 . 2010-04-20 05:29        285696              c:\windows\system32\dllcache\atmfd.dll

+ 2010-03-31 12:51 . 2010-03-31 12:51        102400              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorld.dll

- 2008-05-27 22:49 . 2008-05-27 22:49        102400              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorld.dll

- 2008-05-27 22:48 . 2008-05-27 22:48        315392              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll

+ 2010-03-31 12:49 . 2010-03-31 12:49        315392              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll

+ 2010-03-31 13:32 . 2010-03-31 13:32        258048              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

- 2008-05-27 23:30 . 2008-05-27 23:30        258048              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

+ 2010-06-07 10:17 . 2010-06-07 10:17        963072              c:\windows\Installer\2c884fa.msi

+ 2010-06-07 10:17 . 2010-06-07 10:17        101480              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\egui.exe

+ 2010-06-14 15:09 . 2010-02-25 06:15        916480              c:\windows\ie8updates\KB982381-IE8\wininet.dll

+ 2010-06-14 15:09 . 2010-02-22 14:22        388984              c:\windows\ie8updates\KB982381-IE8\spuninst\updspapi.dll

+ 2010-06-14 15:09 . 2008-07-08 13:00        234872              c:\windows\ie8updates\KB982381-IE8\spuninst\spuninst.exe

+ 2010-06-14 15:09 . 2010-02-25 06:15        206848              c:\windows\ie8updates\KB982381-IE8\occache.dll

+ 2010-06-14 15:09 . 2010-02-25 06:15        611840              c:\windows\ie8updates\KB982381-IE8\mstime.dll

+ 2010-06-14 15:09 . 2010-02-25 06:15        594432              c:\windows\ie8updates\KB982381-IE8\msfeeds.dll

+ 2010-06-14 15:09 . 2010-02-25 06:14        247808              c:\windows\ie8updates\KB982381-IE8\ieproxy.dll

+ 2010-06-14 15:09 . 2010-02-25 06:14        184320              c:\windows\ie8updates\KB982381-IE8\iepeers.dll

+ 2010-06-14 15:09 . 2009-03-08 02:35        742912              c:\windows\ie8updates\KB982381-IE8\iedvtool.dll

+ 2010-06-14 15:09 . 2010-02-25 06:14        387584              c:\windows\ie8updates\KB982381-IE8\iedkcs32.dll

+ 2010-06-14 15:09 . 2010-02-24 09:53        173056              c:\windows\ie8updates\KB982381-IE8\ie4uinit.exe

+ 2010-06-14 15:10 . 2010-06-14 15:10        835584              c:\windows\assembly\NativeImages1_v1.1.4322\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a_f83681c8\System.Drawing.dll

+ 2004-08-04 12:00 . 2010-04-08 12:03        2113536              c:\windows\system32\WMVCore.dll

- 2004-08-04 12:00 . 2010-02-25 06:15        1209344              c:\windows\system32\urlmon.dll

+ 2004-08-04 12:00 . 2010-05-06 10:31        1209344              c:\windows\system32\urlmon.dll

- 2005-08-30 03:55 . 2009-11-27 17:11        1297408              c:\windows\system32\quartz.dll

+ 2005-08-30 03:55 . 2010-02-05 18:25        1297408              c:\windows\system32\quartz.dll

+ 2004-08-04 12:00 . 2010-05-06 10:31        5950976              c:\windows\system32\mshtml.dll

+ 2009-03-08 02:32 . 2010-05-06 10:31        1985536              c:\windows\system32\iertutil.dll

- 2009-03-08 02:32 . 2010-02-25 06:15        1985536              c:\windows\system32\iertutil.dll

+ 2004-08-04 12:00 . 2010-04-08 12:03        2113536              c:\windows\system32\dllcache\WMVCore.dll

+ 2008-10-16 01:04 . 2010-05-02 08:05        1851392              c:\windows\system32\dllcache\win32k.sys

+ 2008-06-26 08:12 . 2010-05-06 10:31        1209344              c:\windows\system32\dllcache\urlmon.dll

- 2008-06-26 08:12 . 2010-02-25 06:15        1209344              c:\windows\system32\dllcache\urlmon.dll

- 2008-05-07 05:10 . 2009-11-27 17:11        1297408              c:\windows\system32\dllcache\quartz.dll

+ 2008-05-07 05:10 . 2010-02-05 18:25        1297408              c:\windows\system32\dllcache\quartz.dll

+ 2008-04-21 06:42 . 2010-05-06 10:31        5950976              c:\windows\system32\dllcache\mshtml.dll

+ 2009-09-05 22:15 . 2010-05-06 10:31        1985536              c:\windows\system32\dllcache\iertutil.dll

- 2009-09-05 22:15 . 2010-02-25 06:15        1985536              c:\windows\system32\dllcache\iertutil.dll

- 2008-05-27 23:35 . 2008-05-27 23:35        1265664              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.Web.dll

+ 2010-04-01 09:42 . 2010-04-01 09:42        1265664              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.Web.dll

+ 2010-04-01 09:42 . 2010-04-01 09:42        1232896              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.dll

- 2008-05-27 23:35 . 2008-05-27 23:35        1232896              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.dll

+ 2010-03-31 12:50 . 2010-03-31 12:50        2514944              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll

- 2008-05-27 22:48 . 2008-05-27 22:48        2514944              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll

+ 2010-03-31 12:50 . 2010-03-31 12:50        2527232              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorsvr.dll

+ 2010-04-01 09:42 . 2010-04-01 09:42        2142208              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll

- 2008-05-27 22:43 . 2008-05-27 22:43        2142208              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll

+ 2010-06-14 15:09 . 2010-02-25 06:15        1209344              c:\windows\ie8updates\KB982381-IE8\urlmon.dll

+ 2010-06-14 15:09 . 2010-02-25 06:15        5944832              c:\windows\ie8updates\KB982381-IE8\mshtml.dll

+ 2010-06-14 15:09 . 2010-02-25 06:15        1985536              c:\windows\ie8updates\KB982381-IE8\iertutil.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        1966080              c:\windows\assembly\NativeImages1_v1.1.4322\System\1.0.5000.0__b77a5c561934e089_2dc68b3b\System.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        2088960              c:\windows\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_fe944387\System.Xml.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        3018752              c:\windows\assembly\NativeImages1_v1.1.4322\System.Windows.Forms\1.0.5000.0__b77a5c561934e089_fcab0fc2\System.Windows.Forms.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        1466368              c:\windows\assembly\NativeImages1_v1.1.4322\System.Design\1.0.5000.0__b03f5f7f11d50a3a_92b35f95\System.Design.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        3391488              c:\windows\assembly\NativeImages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_59c8e6de\mscorlib.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        1232896              c:\windows\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll

- 2009-10-16 01:00 . 2009-10-16 01:00        1232896              c:\windows\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll

+ 2010-06-14 15:10 . 2010-06-14 15:10        1265664              c:\windows\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll

- 2009-10-16 01:00 . 2009-10-16 01:00        1265664              c:\windows\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll

+ 2007-08-20 10:17 . 2010-05-28 19:37        32472008              c:\windows\system32\MRT.exe

+ 2009-03-08 02:39 . 2010-05-06 10:31        11076096              c:\windows\system32\ieframe.dll

+ 2009-09-05 22:15 . 2010-05-06 10:31        11076096              c:\windows\system32\dllcache\ieframe.dll

+ 2010-04-02 17:29 . 2010-04-02 17:29        11413504              c:\windows\Microsoft.NET\Framework\v1.1.4322\Updates\M979906\M979906Uninstall.msp

+ 2010-04-02 10:30 . 2010-04-02 10:30        17456640              c:\windows\Installer\3979d43.msp

+ 2010-06-14 15:09 . 2010-02-25 09:45        11070976              c:\windows\ie8updates\KB982381-IE8\ieframe.dll

.

-- Snapshot auf jetziges Datum zurückgesetzt --

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]

"egui"="c:\programme\ESET Antivirus\egui.exe" [2010-04-07 2145000]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\

OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

f   Micros-Fidelio -  FO Server.lnk - d:\fidelio\program\FOSERVER.EXE [2007-5-22 14167552]

i    Micros-Fidelio -  Interface.lnk - d:\batch\IFCSTART.BAT [2007-5-21 10929]

NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-18 07:58        40368        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2006-08-11 18:43        1519616        ----a-w-        c:\windows\system32\nwiz.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

2006-05-16 16:04        2879488        ----a-w-        c:\windows\SkyTel.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\UltraVNC\\vncviewer.exe"=

"c:\\Programme\\UltraVNC\\winvnc.exe"=

"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=

"d:\\fidelio\\program\\Ifc7.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"38293:TCP"= 38293:TCP:IP PORT 38293

"1521:TCP"= 1521:TCP:IP PORT 1521

"443:TCP"= 443:TCP:IP PORT 443

"1621:TCP"= 1621:TCP:IP PORT 1621

"5900:TCP"= 5900:TCP:IP PORT 5900

"4400:TCP"= 4400:TCP:IP PORT 4400

"2967:TCP"= 2967:TCP:IP PORT 2967
 

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:08 114984]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:09 95872]

R2 ekrn;ESET Service;c:\programme\ESET Antivirus\ekrn.exe [07.04.2010 21:08 810120]

R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]

R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]

R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]

R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]

R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]

R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]

.

Inhalt des "geplante Tasks" Ordners
 

2010-06-14 c:\windows\Tasks\Fidelio Folio spool fo_data Sicherung.job

- c:\windows\system32\ntbackup.exe [2004-08-04 02:22]
 

2010-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
 

2010-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-14 23:20

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D9A78A]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf75f4f28

\Driver\atapi -> atapi.sys @ 0xf7427852

\Driver\iaStor -> ntkrnlpa.exe @ 0x8057c2df

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014

 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76

NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85e00ad0

 PacketIndicateHandler -> NDIS.sys @ 0xf7288a21

 SendHandler -> NDIS.sys @ 0xf726687b

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,a8,21,0b,c6,97,4a,4a,84,b2,14,\

.

Zeit der Fertigstellung: 2010-06-14  23:21:26

ComboFix-quarantined-files.txt  2010-06-14 21:21

ComboFix2.txt  2010-06-07 23:23

ComboFix3.txt  2010-06-06 20:58

ComboFix4.txt  2010-06-05 14:16
 

Vor Suchlauf: 11 Verzeichnis(se), 22.381.629.440 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 22.359.142.400 Bytes frei
 

- - End Of File - - 635640D293F13883AF14F3FCBEC1FCBC

Mit OTL Log kann ich leider nicht dienen, denn das Programm hängt an der gleichen Stelle, wie im vorigen Post in der Fusszeile des Bildes gezeigt.

Das kommt mir spanisch vor, denn der PC läuft ansonsten normal und der Virescanner meckert gar nicht mehr.

Also dann: Jetzt Du wieder :party:

Gruss,
Winfried

Lass OTL mal wie folgt laufen

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

Zitat:

Zitat von Larusso (Beitrag 533736)

Lass OTL mal wie folgt laufen

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

Hallo Daniel,

das Ganze mit oder ohne Custom Code?

Code:

netsvcs

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

svchost /rs

%systemdrive%\svchost.exe /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\drivers\*.sys /90

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs

Gruss,
Winfried

OK. Das ging jetzt, ging aber viel schneller als sonst.

Hier die Ergebnisse:

OTL.txt

Code:

OTL logfile created on: 16.06.2010 22:40:05 - Run 3

OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.022,00 Mb Total Physical Memory | 536,00 Mb Available Physical Memory | 52,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS

Drive D: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

Drive F: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

Drive H: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

I: Drive not present or media not loaded

Drive J: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive L: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive Q: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive T: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive U: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive V: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive X: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive Y: | 232,88 Gb Total Space | 230,98 Gb Free Space | 99,18% Space Free | Partition Type: NTFS

Drive Z: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

 

Computer Name: MFSRV01

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Standard

 
 ========== Processes (SafeList) ==========

 

PRC - [2010.06.14 21:09:00 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

PRC - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\ekrn.exe

PRC - [2010.04.07 21:08:30 | 002,145,000 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\egui.exe

PRC - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) -- C:\Programme\HospiX Entry\g4.exe

PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin

PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe

PRC - [2006.07.14 14:53:20 | 010,957,312 | ---- | M] (Fidelio Research) -- U:\FOBACKUP.EXE

PRC - [2005.03.31 02:33:20 | 000,180,224 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndasmgmt.exe

PRC - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndassvc.exe

PRC - [2001.08.18 04:54:46 | 000,032,256 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\BrmfRsmg.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2010.06.14 21:09:00 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2010.04.07 21:13:20 | 000,033,560 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Programme\ESET Antivirus\EHttpSrv.exe -- (EhttpSrv)

SRV - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) [Auto | Running] -- C:\Programme\ESET Antivirus\ekrn.exe -- (ekrn)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)

SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)

SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Running] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)

DRV - [2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)

DRV - [2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)

DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)

DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)

DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)

DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)

DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)

DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)

DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)

DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)

DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)

DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)

DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)

DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)

DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)

DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)

DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)

DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)

DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)

DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)

DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)

DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)

DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555

 

FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET Antivirus\Mozilla Thunderbird [2010.06.07 12:16:42 | 000,000,000 | ---D | M]

 

 

O1 HOSTS File: ([2010.06.08 01:16:50 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O4 - HKLM..\Run: [egui] C:\Programme\ESET Antivirus\egui.exe (ESET)

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)

O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk = D:\fidelio\program\FOSERVER.EXE (Fidelio Research)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk = D:\batch\IFCSTART.BAT ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)

O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2000.05.04 22:24:18 | 000,000,438 | ---- | M] () - V:\AUTOEXEC.NT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.06.16 22:36:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent

[2010.06.15 21:41:48 | 000,000,000 | -HSD | C] -- C:\RECYCLER

[2010.06.15 21:09:52 | 000,000,000 | ---D | C] -- C:\Programme\DVD Audio Extractor

[2010.06.15 11:48:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FESPA

[2010.06.14 23:21:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp

[2010.06.14 21:06:58 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

[2010.06.14 05:14:46 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll

[2010.06.14 00:55:34 | 000,000,000 | ---D | C] -- C:\Config.Msi

[2010.06.14 00:51:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help

[2010.06.14 00:51:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Help

[2010.06.09 01:44:04 | 000,499,712 | ---- | C] (eSage Lab) -- C:\remover.exe

[2010.06.08 20:18:35 | 000,444,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\TFC.exe

[2010.06.08 16:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET

[2010.06.07 12:23:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET

[2010.06.07 12:19:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET

[2010.06.07 12:16:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET

[2010.06.07 11:57:43 | 000,000,000 | ---D | C] -- C:\Programme\ESET Antivirus

[2010.06.07 03:01:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

[2010.06.07 03:01:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun

[2010.06.06 22:33:31 | 000,000,000 | ---D | C] -- C:\CoFi3249C

[2010.06.06 22:33:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Malwarebytes

[2010.06.05 16:00:28 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2010.06.05 15:59:12 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2010.06.05 15:59:12 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2010.06.05 15:59:12 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2010.06.05 15:59:12 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2010.06.05 15:58:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2010.06.05 15:58:56 | 000,000,000 | ---D | C] -- C:\CoFi

[2010.06.05 15:58:26 | 000,000,000 | ---D | C] -- C:\Qoobox

[2010.06.05 08:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia

[2010.06.05 06:20:14 | 000,000,000 | ---D | C] -- C:\_OTL

[2010.06.05 05:06:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.06.05 04:36:51 | 000,000,000 | ---D | C] -- C:\Programme\trend micro

[2010.06.05 04:36:44 | 000,000,000 | ---D | C] -- C:\rsit

[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml

[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe

[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp

[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip

[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.06.16 22:23:56 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini

[2010.06.16 22:23:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.06.16 13:45:05 | 000,001,030 | ---- | M] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job

[2010.06.16 06:23:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.06.15 21:21:10 | 000,001,664 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdae.config

[2010.06.15 21:11:39 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT

[2010.06.14 23:51:03 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.06.14 23:50:03 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini

[2010.06.14 23:50:02 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp

[2010.06.14 23:49:44 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.06.14 23:49:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.06.14 23:49:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini

[2010.06.14 23:49:05 | 004,843,748 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db

[2010.06.14 23:41:02 | 000,088,517 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL Hang 14.06.10 2335.JPG

[2010.06.14 23:20:29 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini

[2010.06.14 23:13:41 | 003,707,755 | R--- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

[2010.06.14 21:09:00 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe

[2010.06.14 18:25:05 | 000,107,008 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010.06.09 02:08:38 | 000,001,535 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Octoshape Streaming Services.lnk

[2010.06.09 01:49:56 | 000,054,840 | ---- | M] () -- C:\Bootkit.JPG

[2010.06.08 20:18:41 | 000,444,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\TFC.exe

[2010.06.08 01:16:50 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2010.06.08 01:08:28 | 000,000,653 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk

[2010.06.08 01:08:28 | 000,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk

[2010.06.07 19:57:22 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe

[2010.06.07 11:29:16 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat

[2010.06.06 18:32:45 | 000,000,000 | ---- | M] () -- C:\debug

[2010.06.05 16:00:33 | 000,000,281 | RHS- | M] () -- C:\boot.ini

[2010.06.05 05:06:15 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.06.05 03:58:32 | 000,824,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe

[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com

[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe

[2010.06.05 02:06:38 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe

[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1

[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls

[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF

[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat

[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp

[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe

 
 ========== Files Created - No Company Name ==========

 

[2010.06.15 21:19:39 | 000,001,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdae.config

[2010.06.14 23:41:02 | 000,088,517 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL Hang 14.06.10 2335.JPG

[2010.06.14 21:06:48 | 003,707,755 | R--- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe

[2010.06.09 01:49:56 | 000,054,840 | ---- | C] () -- C:\Bootkit.JPG

[2010.06.07 11:51:52 | 000,001,030 | ---- | C] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job

[2010.06.06 23:04:33 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe

[2010.06.06 18:32:45 | 000,000,000 | ---- | C] () -- C:\debug

[2010.06.06 18:29:19 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat

[2010.06.05 16:00:33 | 000,000,211 | ---- | C] () -- C:\Boot.bak

[2010.06.05 16:00:29 | 000,262,448 | ---- | C] () -- C:\cmldr

[2010.06.05 15:59:12 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2010.06.05 15:59:12 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2010.06.05 15:59:12 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2010.06.05 15:59:12 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2010.06.05 15:59:12 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2010.06.05 04:57:55 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com

[2010.06.05 04:34:26 | 000,824,681 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe

[2010.06.05 02:54:27 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe

[2010.06.05 02:25:24 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe

[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe

[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp

[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat

[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini

[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini

[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll

[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll

[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll

[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll

[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll

[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll

[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll

[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll

[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll

< End of report >

Extra.txt

Code:

OTL Extras logfile created on: 16.06.2010 22:40:05 - Run 3

OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.022,00 Mb Total Physical Memory | 536,00 Mb Available Physical Memory | 52,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS

Drive D: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

Drive F: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

Drive H: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

I: Drive not present or media not loaded

Drive J: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive L: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive Q: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive T: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive U: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive V: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive X: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

Drive Y: | 232,88 Gb Total Space | 230,98 Gb Free Space | 99,18% Space Free | Partition Type: NTFS

Drive Z: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS

 

Computer Name: MFSRV01

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Standard

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusOverride" = 0

"FirewallOverride" = 0

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009

"38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293

"1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521

"443:TCP" = 443:TCP:*:Enabled:IP PORT 443

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

"1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621

"5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900

"4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400

"2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC)

"C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC)

"D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.)

"C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH)

"C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{02C23509-87A8-4CFA-B6B9-713A078404AA}" = ESET NOD32 Antivirus

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"ActiveTouchMeetingClient" = WebEx

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1

 
 ========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Octoshape Streaming Services" = Octoshape Streaming Services

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 12.06.2010 20:43:20 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 13.06.2010 06:44:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated

 abnormally  .

 

Error - 13.06.2010 06:44:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 13.06.2010 08:45:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated

 abnormally  .

 

Error - 13.06.2010 08:45:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 13.06.2010 15:31:28 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated

 abnormally  .

 

Error - 13.06.2010 15:31:28 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 13.06.2010 17:46:03 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated

 abnormally  .

 

Error - 13.06.2010 18:26:46 | Computer Name = MFSRV01 | Source = pcAnywhere | ID = 118

Description = 

 

Error - 14.06.2010 07:39:03 | Computer Name = MFSRV01 | Source = NTBackup | ID = 8017

Description = NTBackup-Fehler: 'Der Vorgang ist fehlgeschlagen. Weitere Informationen

 finden Sie im Sicherungsbericht.'

 

[ System Events ]

Error - 13.06.2010 18:23:09 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - Service Controller" wurde unerwartet beendet.

 Dies ist bereits 1 Mal passiert.

 

Error - 13.06.2010 18:23:09 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - Call data import" wurde unerwartet beendet.

 Dies ist bereits 1 Mal passiert.

 

Error - 13.06.2010 18:23:09 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - PMS Connector" wurde unerwartet beendet. Dies

 ist bereits 1 Mal passiert.

 

Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - Service Controller" wurde unerwartet beendet.

 Dies ist bereits 1 Mal passiert.

 

Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies

 ist bereits 1 Mal passiert.

 

Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - AAA Service" wurde unerwartet beendet. Dies

 ist bereits 1 Mal passiert.

 

Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - PBX Interface" wurde unerwartet beendet. Dies

 ist bereits 1 Mal passiert.

 

Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - Call data import" wurde unerwartet beendet.

 Dies ist bereits 1 Mal passiert.

 

Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "HospiX Entry - PMS Connector" wurde unerwartet beendet. Dies

 ist bereits 1 Mal passiert.

 

Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034

Description = Dienst "NDAS Service" wurde unerwartet beendet. Dies ist bereits 1

 Mal passiert.

 

 

< End of report >

Na, dann schau mal ... :heilig:

Gruss,
Winfried

Sieht alles gut aus :)
Hattest Du einmal Avira Antivir am System ?

Schritt 1

Update bitte Malwarebytes und lass es einen Quick Scan laufen.

Schritt 2

Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
Java muss installiert, aktiv und erlaubt sein.
Bebilderte Anleitung von sundavis.
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.

Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
Die Datenschutzerklärung akzeptieren.
Programm installieren lassen.
Update der Signaturen installieren lassen.
Wenn der Status "Complete" ist,
Scan-Einstellungen (Settings) Standard lassen
Links den Link "My Computer" anklicken.
Scan beginnt automatisch.
Wenn der Scan fertig ist, auf "View scan report" klicken,
"Save report as" und Dateityp auf .txt umstellen,
und auf dem Desktop als Kaspersky.txt speichern.
Logdatei hier posten.
Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

.

Bitte poste in Deiner nächsten Antwort
Log von Malwarebytes
Kaspersky.txt
Berichte ob von deiner Seite aus noch Probleme vorhanden sind

Hallo Daniel,

Avira hatte ich eine Zeit lang auf dem Rechner, ist aber seit langem schon deinstalliert (dachte ich).

Hier ist der Malwarebytes Scan, es wurde allerdings ein infizierter Registry key gefunden, den ich aber erstmal noch nicht behandelt habe:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4209
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

17.06.2010 16:21:03

mbam-log-2010-06-17 (16-21-03).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 156364

Laufzeit: 5 Minute(n), 1 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Kaspersky mache ich gleich noch.

Gruss,
Winfried

Woooow! Kaspersky on-line dauert ..... !!! :eek:

Hallo Daniel,

diese Kaspersky 7.0 on-line Geschichte ist auf meinem PC zwar gelaufen, hat aber 3 Stunden gebraucht und sich im Browserwindow sehr komisch gebärdet, zeitweise leerer Bildschirm, Buttons reagierten nicht so richtig, vielleicht hab ich ja irgendwo irgendwas mit dem Java nicht richtig umgestellt, aber da kenne ich mich auch nicht aus...

Wie auch immer, der Report lies sich dann auch nicht speichern, darum hier ein Screenshot:

http://www.abload.de/img/kasperskyreport28gw.jpg

Ich hoffe das hilft trotz der abgeschnittenen Information... Ansonsten muss ich den K-Scan halt nochmal machen, vielleicht mit etwas mehr Anweisung über die Java Geschichten.

Gruss,
Winfried

Normalerweise nutze ich ja den Scan von ESET. Du da das aber am System hast hat das wenig sinn. Kas meckert nur die Remote Software an. Ist halt als Risk Faktor eingestuft.

Versuch mal folgenden

F-Secure Onlinescanner

Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
Einen Haken bei "I have read and accepted the license terms".
Den Button "Install" drücken.
IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
Den Button "Start" drücken.
"Full Scan" einstellen und den Button "Start" drücken.
Die Signaturen werden heruntergeladen.
Der Scan beginnt automatisch.
Scanende (Finish).
Bei Funden benutze => Automatische Bereinigung (Automatically)
und klicke auf den Button "Next".
Bericht anzeigen, indem Du auf den Button "Full report" klickst.
Menü => Datei => Seite speichern unter
Dateityp auf Textdatei umstellen und
auf dem Desktop als f-secure.txtspeichern.
Log hier posten.

Deinstallation

Firefox:
Addon über Extras => F-Secure deinstallieren.
Internet Explorer:
mit HJT folgenden Eintrag fixen:
O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3)