Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll
 

Hallo liebe Helfer,

habe gestern beim Avira Scan die Nachricht erhalten, dass mein System den Rootkit RKIT/Agent 119808 enthält.
Die Datei konnte weder in Quarantäne verschoben, noch gelöscht werden.

Habe im Internet geforscht und bin auf GMER gestossen. Habe mein System damit gescannt. Das Ergebnis ist mit Avira identsich.

Ich bitte um Hilfe, wie man diesen ROOTKIT entfernen kann, muß aber hinzufügen, dass ich Laie auf dem Gebiet der Reinigung von Computersystemen bin.

Auch wüßte ich gerne, was dieser ROOTKIT macht.

Danke
know2010

naja was ein rootkit halt so macht, daten stehlen, pws zb online banking zugänge malware kann nachgeladen worden sein.
betreibst du onlinebanking oder sonstige wichtige geschäfte am pc? dann wäre bank anrufen und neu aufsetzen das sicherste.
da nur das 100 %ig sicherheit bietet.

wenn du bereinigen willst, download malwarebytes:
Malwarebytes
instalieren, updaten, über die registerkarte aktualisierung.
dann schalte die internetverbindung ab, in dem du wlan ausschaltest, bzw das lankabel ziehst.
schließe auch alles an laufenden programmen, auch den avira guard.
starte nun nen komplett scan, funde löschen, evtl. neustarten, zeigt malwarebytes an, dann avira und internet ein, log posten.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

Hallo Markus,

vielen Dank für die Unterstützung.

Habe mit Malwarebytes gearbeitet. 2 infizierte Dateien und ein infizierter Registrierungsschlüssel wurden gefunden und auch eliminiert. Aber vom RKIT/Agent 119808 keine Spur.

Hier das Protokoll:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4363

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

28.07.2010 15:58:12
mbam-log-2010-07-28 (15-58-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 267916
Laufzeit: 45 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
E:\backup\***\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.


Anschließend habe ich Avira laufen lassen. Das Programm zeigt mir nach wie vor den RKIT\Agent 119808 an.

Hier das Protokoll:
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:54:05
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:54:05
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 11:31:05
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:23:59
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 08:31:12
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:56:08
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 06:24:54
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 12:47:34
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 12:47:34
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 12:47:34
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 12:47:34
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 12:47:34
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 12:47:34
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 06:35:17
VBASE014.VDF : 7.10.9.199 2048 Bytes 26.07.2010 06:35:17
VBASE015.VDF : 7.10.9.200 2048 Bytes 26.07.2010 06:35:17
VBASE016.VDF : 7.10.9.201 2048 Bytes 26.07.2010 06:35:17
VBASE017.VDF : 7.10.9.202 2048 Bytes 26.07.2010 06:35:17
VBASE018.VDF : 7.10.9.203 2048 Bytes 26.07.2010 06:35:17
VBASE019.VDF : 7.10.9.204 2048 Bytes 26.07.2010 06:35:17
VBASE020.VDF : 7.10.9.205 2048 Bytes 26.07.2010 06:35:18
VBASE021.VDF : 7.10.9.206 2048 Bytes 26.07.2010 06:35:18
VBASE022.VDF : 7.10.9.207 2048 Bytes 26.07.2010 06:35:18
VBASE023.VDF : 7.10.9.208 2048 Bytes 26.07.2010 06:35:18
VBASE024.VDF : 7.10.9.209 2048 Bytes 26.07.2010 06:35:18
VBASE025.VDF : 7.10.9.210 2048 Bytes 26.07.2010 06:35:18
VBASE026.VDF : 7.10.9.211 2048 Bytes 26.07.2010 06:35:18
VBASE027.VDF : 7.10.9.212 2048 Bytes 26.07.2010 06:35:18
VBASE028.VDF : 7.10.9.213 2048 Bytes 26.07.2010 06:35:18
VBASE029.VDF : 7.10.9.214 2048 Bytes 26.07.2010 06:35:18
VBASE030.VDF : 7.10.9.215 2048 Bytes 26.07.2010 06:35:18
VBASE031.VDF : 7.10.9.225 100864 Bytes 27.07.2010 22:12:38
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 13.05.2010 10:56:39
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 22.07.2010 06:39:28
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 10:56:36
AESBX.DLL : 8.1.3.1 254324 Bytes 13.05.2010 10:56:40
AERDL.DLL : 8.1.8.2 614772 Bytes 22.07.2010 06:39:26
AEPACK.DLL : 8.2.3.2 471414 Bytes 22.07.2010 06:39:24
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 06:39:22
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 22.07.2010 06:39:22
AEHELP.DLL : 8.1.13.2 242039 Bytes 22.07.2010 06:39:15
AEGEN.DLL : 8.1.3.17 385396 Bytes 22.07.2010 06:39:14
AEEMU.DLL : 8.1.2.0 393588 Bytes 13.05.2010 10:56:26
AECORE.DLL : 8.1.16.2 192887 Bytes 22.07.2010 06:39:13
AEBB.DLL : 8.1.1.0 53618 Bytes 13.05.2010 10:56:24
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, A:, G:, F:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 28. Juli 2010 16:02

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbucoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '471' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\Users\***\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
Beginne mit der Suche in 'D:\' <XP>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\***\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Mittwoch, 28. Juli 2010 17:52
Benötigte Zeit: 38:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

23209 Verzeichnisse wurden überprüft
379894 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
379893 Dateien ohne Befall
2942 Archive wurden durchsucht
1 Warnungen
0 Hinweise


Wie soll ich nun weiter vorgehen?

steht doch schon oben, mit otl :-)

Habe ich soeben gemacht, Markus,

gibt es die Möglichkeit, die OTL-Protokolle zu verschlüsseln, so dass nur Du sie lesen kannst? Ansonsten habe ich viel Arbeit, sie zu anonymisieren.

nein.
du kannst aber, wenn du deinen nutzernamen löschen willst, die funktion suchen und ersetzen wählen.
in wordpad ist es strg+h
dort schreibst du oben bei suchen deinen namen, und bei ersetzen ***
und dann auf suchen klicken. aber bedenke wenn wir was löschen, musst du evtl. deinen namen einfügen

So, hier OTL Extras:


OTL EXTRAS Logfile:
--- --- ---

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- Reg Error: Value error. File not found

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- Reg Error: Value error.
htmlfile [opennew] -- Reg Error: Value error.
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{01E63C63-CCF5-4B6B-834B-308300059317}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{19716EDF-9041-409A-AC7B-052BF45FFD58}" = lport=5358 | protocol=6 | dir=in | app=system |
"{31371B3A-67AF-4031-936C-FDD794BAE98F}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{33C2982B-AC14-4B33-9C36-9469B205F320}" = lport=5357 | protocol=6 | dir=in | app=system |
"{352FB56F-6C4D-474B-958E-4898D8D20ED9}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{3D06535B-2A0C-469D-896E-5650130697D6}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{49BF56AF-B79B-47F2-A65A-F98B41828B02}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{4BE6CFE1-F463-4BB4-BD65-BBAE9A27D65B}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{57435039-CC10-423C-A727-83BCF071C357}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{5A0DF60A-D03A-40DC-A7DE-6F7A431843E8}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{689898A6-D420-4FA9-A0E4-9F63D0A9D7DA}" = rport=5358 | protocol=6 | dir=out | app=system |
"{6C0CB4F5-2990-4743-B206-7A5F450EB94A}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{7D3A141A-92B1-4C6B-ABDD-272080EBC1D6}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{802E9939-5406-404D-BD6A-01C414489AC6}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{94B46483-D167-4956-9E67-9D81017DBAF7}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{9F1750CD-A50B-42CA-AEFB-CCAEBBAD3079}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{A39839CE-4074-4113-90E9-A8B4D55922E7}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{A576EB9B-9348-42F1-88BE-14033C7DEF3F}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{ACFFE270-753A-4CB6-9A9A-B4083CFE5845}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{B3091039-3C16-498E-85A9-73944FBD55DE}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{D7A4A548-E478-4737-B42F-97048953313F}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{DC611BF1-7391-4F40-B0F3-35FBB3190E4D}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{E1952D66-41E5-4590-9EEB-83B2F12E8949}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{E6B97ED5-46FF-46D2-8645-8F42ACDC7D30}" = rport=5357 | protocol=6 | dir=out | app=system |
"{E76BE80A-C456-484B-A585-9F8F38F08CA7}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{EA0A21AA-2555-49DB-81D5-A388DF10BB63}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{F879F500-1F84-46DF-BFE9-E08890361CCE}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{FF61891C-FE14-4A4E-9F8F-709D453CBFF8}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{06026042-0F4D-41B5-B8B1-67E234B9E514}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{0C1393AB-AD13-425F-9378-E95762119CCA}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{221C370F-F63F-4558-B38F-F8FE2042D696}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{229F5781-E880-4BC7-A23A-065BD4C14C0A}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{39551905-FC3F-4566-A442-762F58516448}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{3BD57AC6-EE9D-4548-A2C1-72C3B3A204B0}" = protocol=6 | dir=in | app=%systemroot%\system32\netproj.exe |
"{3E7413C4-9346-426E-9226-DEA21365DC33}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{5BE6B76D-51AC-4CB2-B8A8-67DDF08FF6C4}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{74C16E8E-EBBC-40D0-A8EB-2BBDB0EDC598}" = protocol=17 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{75BDFEA8-6370-4A20-89A7-D8B680F6E357}" = protocol=6 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{7E12A67C-A383-4E6D-BDE4-C95101396AB7}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{864B6443-1F5C-4283-BAED-334D38D6E1FE}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{8C5FCC0D-E8EB-4AE0-B112-BECA52E9D3BE}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{A385B48B-F213-4F6A-964E-AB6F07BF362B}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{CDD9C9BD-E707-41CE-BAD8-30B0B9F8528D}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{E89C4F4D-ACF5-4695-918E-5BC457B7771E}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{F0111570-CBFF-46BA-B425-BADF62043963}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{FBFBC0D6-6F4B-49E6-8464-AC49E1485896}" = protocol=6 | dir=out | app=%systemroot%\system32\netproj.exe |
"TCP Query User{973C46D1-9905-49C1-B580-42C9E39A681F}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=6 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"TCP Query User{E39375AC-437A-4540-A4B8-995C69BF9553}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe |
"TCP Query User{EF63A997-0FD0-41D3-A4AF-DD5B53DDB32B}C:\program files\real\realplayer\realplay.exe" = protocol=6 | dir=in | app=c:\program files\real\realplayer\realplay.exe |
"UDP Query User{855C559A-B2B9-45AD-B35F-9102CED250D0}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{990DDA65-E059-4F98-B41A-FEF619458AB2}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=17 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"UDP Query User{C5542540-1AEB-4872-8DC2-F7D9E71373A9}C:\program files\real\realplayer\realplay.exe" = protocol=17 | dir=in | app=c:\program files\real\realplayer\realplay.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6C30E300-8DDA-2F11-0B99-405F7DC83C7A}" = Catalyst Control Center InstallProxy
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8AAE765-CD28-2806-0C3E-56EBB64FA5A5}" = ATI Catalyst Install Manager
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{C1E544E5-EF3C-4103-A57B-3A499FD91031}" = Nero 7 Essentials
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E1180142-3B31-4DCC-9D27-7AC2D37662BF}" = LightScribe 1.4.124.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F3ECED46-91CC-4F44-9917-9A20085D5D26}" = Debugging Tools for Windows
"{F9000000-0001-0000-0000-074957833700}" = ABBYY FineReader 9.0 Professional Edition
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.4 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"FileHippo.com" = FileHippo.com Update Checker
"FreePDF_XP" = FreePDF XP (Remove only)
"Google Updater" = Google Updater
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"Lexmark 6200 Series" = Lexmark 6200 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (3.0.6)" = Mozilla Thunderbird (3.0.6)
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PC-Lab2000SE" = PC-Lab2000SE
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"VLC media player" = VideoLAN VLC media player 0.8.6i
"WinDSO_FG32" = WinDSO_FG32

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 21.05.2010 00:50:14 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 21.05.2010 01:29:34 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:08:56 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:09:00 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 15:41:13 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 25.05.2010 18:12:39 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:13:47 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:14:59 | Computer Name =***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:15:04 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:15:11 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

[ Media Center Events ]
Error - 16.04.2008 17:58:30 | Computer Name = ***-PC | Source = MCUpdate | ID = 0
Description = DownloadPackgeTask.SubTasksComplete: Download von Paket MCESpotlight
gescheitert.

[ System Events ]
Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 08:04:02 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 28.07.2010 um 14:02:58 unerwartet heruntergefahren.

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 09:59:33 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7016
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =


< End of report >

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- Reg Error: Value error. File not found

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- Reg Error: Value error.
htmlfile [opennew] -- Reg Error: Value error.
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{01E63C63-CCF5-4B6B-834B-308300059317}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{19716EDF-9041-409A-AC7B-052BF45FFD58}" = lport=5358 | protocol=6 | dir=in | app=system |
"{31371B3A-67AF-4031-936C-FDD794BAE98F}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{33C2982B-AC14-4B33-9C36-9469B205F320}" = lport=5357 | protocol=6 | dir=in | app=system |
"{352FB56F-6C4D-474B-958E-4898D8D20ED9}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{3D06535B-2A0C-469D-896E-5650130697D6}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{49BF56AF-B79B-47F2-A65A-F98B41828B02}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{4BE6CFE1-F463-4BB4-BD65-BBAE9A27D65B}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{57435039-CC10-423C-A727-83BCF071C357}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{5A0DF60A-D03A-40DC-A7DE-6F7A431843E8}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{689898A6-D420-4FA9-A0E4-9F63D0A9D7DA}" = rport=5358 | protocol=6 | dir=out | app=system |
"{6C0CB4F5-2990-4743-B206-7A5F450EB94A}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{7D3A141A-92B1-4C6B-ABDD-272080EBC1D6}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{802E9939-5406-404D-BD6A-01C414489AC6}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{94B46483-D167-4956-9E67-9D81017DBAF7}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{9F1750CD-A50B-42CA-AEFB-CCAEBBAD3079}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{A39839CE-4074-4113-90E9-A8B4D55922E7}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{A576EB9B-9348-42F1-88BE-14033C7DEF3F}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{ACFFE270-753A-4CB6-9A9A-B4083CFE5845}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{B3091039-3C16-498E-85A9-73944FBD55DE}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{D7A4A548-E478-4737-B42F-97048953313F}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{DC611BF1-7391-4F40-B0F3-35FBB3190E4D}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{E1952D66-41E5-4590-9EEB-83B2F12E8949}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{E6B97ED5-46FF-46D2-8645-8F42ACDC7D30}" = rport=5357 | protocol=6 | dir=out | app=system |
"{E76BE80A-C456-484B-A585-9F8F38F08CA7}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{EA0A21AA-2555-49DB-81D5-A388DF10BB63}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{F879F500-1F84-46DF-BFE9-E08890361CCE}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{FF61891C-FE14-4A4E-9F8F-709D453CBFF8}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{06026042-0F4D-41B5-B8B1-67E234B9E514}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{0C1393AB-AD13-425F-9378-E95762119CCA}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{221C370F-F63F-4558-B38F-F8FE2042D696}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{229F5781-E880-4BC7-A23A-065BD4C14C0A}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{39551905-FC3F-4566-A442-762F58516448}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{3BD57AC6-EE9D-4548-A2C1-72C3B3A204B0}" = protocol=6 | dir=in | app=%systemroot%\system32\netproj.exe |
"{3E7413C4-9346-426E-9226-DEA21365DC33}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{5BE6B76D-51AC-4CB2-B8A8-67DDF08FF6C4}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{74C16E8E-EBBC-40D0-A8EB-2BBDB0EDC598}" = protocol=17 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{75BDFEA8-6370-4A20-89A7-D8B680F6E357}" = protocol=6 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{7E12A67C-A383-4E6D-BDE4-C95101396AB7}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{864B6443-1F5C-4283-BAED-334D38D6E1FE}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{8C5FCC0D-E8EB-4AE0-B112-BECA52E9D3BE}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{A385B48B-F213-4F6A-964E-AB6F07BF362B}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{CDD9C9BD-E707-41CE-BAD8-30B0B9F8528D}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{E89C4F4D-ACF5-4695-918E-5BC457B7771E}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{F0111570-CBFF-46BA-B425-BADF62043963}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{FBFBC0D6-6F4B-49E6-8464-AC49E1485896}" = protocol=6 | dir=out | app=%systemroot%\system32\netproj.exe |
"TCP Query User{973C46D1-9905-49C1-B580-42C9E39A681F}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=6 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"TCP Query User{E39375AC-437A-4540-A4B8-995C69BF9553}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe |
"TCP Query User{EF63A997-0FD0-41D3-A4AF-DD5B53DDB32B}C:\program files\real\realplayer\realplay.exe" = protocol=6 | dir=in | app=c:\program files\real\realplayer\realplay.exe |
"UDP Query User{855C559A-B2B9-45AD-B35F-9102CED250D0}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{990DDA65-E059-4F98-B41A-FEF619458AB2}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=17 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"UDP Query User{C5542540-1AEB-4872-8DC2-F7D9E71373A9}C:\program files\real\realplayer\realplay.exe" = protocol=17 | dir=in | app=c:\program files\real\realplayer\realplay.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6C30E300-8DDA-2F11-0B99-405F7DC83C7A}" = Catalyst Control Center InstallProxy
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8AAE765-CD28-2806-0C3E-56EBB64FA5A5}" = ATI Catalyst Install Manager
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{C1E544E5-EF3C-4103-A57B-3A499FD91031}" = Nero 7 Essentials
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E1180142-3B31-4DCC-9D27-7AC2D37662BF}" = LightScribe 1.4.124.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F3ECED46-91CC-4F44-9917-9A20085D5D26}" = Debugging Tools for Windows
"{F9000000-0001-0000-0000-074957833700}" = ABBYY FineReader 9.0 Professional Edition
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.4 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"FileHippo.com" = FileHippo.com Update Checker
"FreePDF_XP" = FreePDF XP (Remove only)
"Google Updater" = Google Updater
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"Lexmark 6200 Series" = Lexmark 6200 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (3.0.6)" = Mozilla Thunderbird (3.0.6)
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PC-Lab2000SE" = PC-Lab2000SE
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"VLC media player" = VideoLAN VLC media player 0.8.6i
"WinDSO_FG32" = WinDSO_FG32

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 21.05.2010 00:50:14 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 21.05.2010 01:29:34 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:08:56 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:09:00 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 15:41:13 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 25.05.2010 18:12:39 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:13:47 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:14:59 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:15:04 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:15:11 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

[ Media Center Events ]
Error - 16.04.2008 17:58:30 | Computer Name = ***-PC | Source = MCUpdate | ID = 0
Description = DownloadPackgeTask.SubTasksComplete: Download von Paket MCESpotlight
gescheitert.

[ System Events ]
Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 08:04:02 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 28.07.2010 um 14:02:58 unerwartet heruntergefahren.

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 09:59:33 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7016
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =


< End of report >

jetzt fehlt otl.txt

Ich kann den OTL Text nicht senden. Er ist zu lang!
Was soll ich tun?

naja was tut man wohl wenn etwas zu lang ist? schon mal was von teilen gehört? :-)

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Fertig!!
Combofix Logfile:
--- --- ---

ok versuchen wir mal n manuelles malwarebytes update
http://data.mbamupdates.com/tools/mbam-rules.exe
und danach nen komplett scan starten

Hallo Markus,

sende Dir besagte Logdatei. Sieht gut aus, denke ich. Allerdings zeigt mir Avira nach wie vor den RKIT an. Danke, dass Du soviel Geduld hast.



Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4366

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

29.07.2010 16:51:11
mbam-log-2010-07-29 (16-51-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 261420
Laufzeit: 45 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

das sieht gut aus.
avira

avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

So, ich habe alles ausgeführt, wie Du es vorgeschlagen hast, Markus. Das Ergebnis siehe selbst:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. Juli 2010 18:20

Es wird nach 2656604 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : Ivonne Hamza
Computername : IVONNEHAMZA-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:45:45
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:45:59
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 15:46:25
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 15:46:25
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 15:46:25
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 15:46:25
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 15:46:25
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 15:46:26
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 15:46:27
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 15:46:32
VBASE015.VDF : 7.10.10.0 2048 Bytes 29.07.2010 15:46:32
VBASE016.VDF : 7.10.10.1 2048 Bytes 29.07.2010 15:46:32
VBASE017.VDF : 7.10.10.2 2048 Bytes 29.07.2010 15:46:32
VBASE018.VDF : 7.10.10.3 2048 Bytes 29.07.2010 15:46:32
VBASE019.VDF : 7.10.10.4 2048 Bytes 29.07.2010 15:46:33
VBASE020.VDF : 7.10.10.5 2048 Bytes 29.07.2010 15:46:33
VBASE021.VDF : 7.10.10.6 2048 Bytes 29.07.2010 15:46:33
VBASE022.VDF : 7.10.10.7 2048 Bytes 29.07.2010 15:46:33
VBASE023.VDF : 7.10.10.8 2048 Bytes 29.07.2010 15:46:33
VBASE024.VDF : 7.10.10.9 2048 Bytes 29.07.2010 15:46:33
VBASE025.VDF : 7.10.10.10 2048 Bytes 29.07.2010 15:46:33
VBASE026.VDF : 7.10.10.11 2048 Bytes 29.07.2010 15:46:33
VBASE027.VDF : 7.10.10.12 2048 Bytes 29.07.2010 15:46:33
VBASE028.VDF : 7.10.10.13 2048 Bytes 29.07.2010 15:46:33
VBASE029.VDF : 7.10.10.14 2048 Bytes 29.07.2010 15:46:33
VBASE030.VDF : 7.10.10.15 2048 Bytes 29.07.2010 15:46:34
VBASE031.VDF : 7.10.10.17 20992 Bytes 29.07.2010 15:46:34
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 29.07.2010 15:46:53
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 29.07.2010 15:46:52
AESCN.DLL : 8.1.6.1 127347 Bytes 29.07.2010 15:46:50
AESBX.DLL : 8.1.3.1 254324 Bytes 29.07.2010 15:46:53
AERDL.DLL : 8.1.8.2 614772 Bytes 29.07.2010 15:46:50
AEPACK.DLL : 8.2.3.2 471414 Bytes 29.07.2010 15:46:48
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 29.07.2010 15:46:46
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 29.07.2010 15:46:45
AEHELP.DLL : 8.1.13.2 242039 Bytes 29.07.2010 15:46:39
AEGEN.DLL : 8.1.3.17 385396 Bytes 29.07.2010 15:46:38
AEEMU.DLL : 8.1.2.0 393588 Bytes 29.07.2010 15:46:37
AECORE.DLL : 8.1.16.2 192887 Bytes 29.07.2010 15:46:36
AEBB.DLL : 8.1.1.0 53618 Bytes 29.07.2010 15:46:36
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, A:, G:, F:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 29. Juli 2010 18:20

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbucoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '470' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\Users\Ivonne Hamza\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
Beginne mit der Suche in 'D:\' <XP>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\Ivonne Hamza\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

start, suchen (ausführen) schreibe editor, enter
dort kopiere rein

Killall::
Rootkit::
C:\Users\Ivonne Hamza\AppData\Roaming\cttele32U.dll


Datei speichern unter, typ alle dateien, name cfscript.txt
speicherort, dort wo sich combofix.exe befindet.
ziehe cfscript auf combofix, programm startet, log posten.

Hallo Markus,
jetzt betrete ich absolutes Neuland. Nachdem ich endlich den Editor gefunden habe, und besagte Info in einer Zeile eingegeben habe, taucht ein neues Problem auf. Es heißt:
Der Datei ist kein Programm zur Durchführung dieser Aktion zugeordnet. Erstellen Sie eine Zuordnung in der "Systemsteuerung" unter "Zuordnungen festlegen".

Bei Vista gibt es aber unter "Systemsteuerung" keinen besagten Ordner. ????

wenn du den editor öffnest, dann gehts noch?
und wann tritt das problem auf? du sollst beide zeilen bitte einkopieren, dann auf datei, speichern unter, typ alle klicken, name cfscript.txt
und speicherort dort wo sich combofix.exe befindet

der Editor heißt "Ausführen" und ich kann die drei Zeilen dort nicht untereinander eingeben. In Ausführen bin ich gelangt, indem ich die Winlogotaste+R gedrückt habe. Es heißt dort: Geben Sie den Namen eines Programms, Ordners, Dokuments oder einer Internetressource an. Wenn ich auf Okay drücke, kommt dann die oben beschriebene Anweisung.
Wenn ich nur Editor in die Suchleiste eingebe und die Entertaste drücke, komme ich nirgendwo hin, es heißt: es wurde kein Suchergebnis gefunden.
Woher weiß ich denn, wie der Editor aussieht? Mit dem habe ich noch nie gearbeitet.

a ok das klingt schon anders.
dann gehe auf start alle programme, zubehör, editor. da ists

meinst du das word pad? Editor gibt es nicht!

Dateityp gibt es nur RTF-Format, Textdokument, Textdokument -MA-DOS-Format, unicode Textdokument.

download cfscript.txt
http://www.file-upload.net/download-2708481/cfscript.txt.html
und ziehe die dann auf das combofix symbol, programm sollte starten, neues log posten

Gut, hat prima funktioniert. Hier das log. Kannst Du was erkennen?
Combofix Logfile:
--- --- ---

AVIRA meldet nach wie vor den ROOTKIT/AGENT 119808

UND

GMER findet ebenfalls einen:

Service C:\Windows\system32\DRIVERS\vdrv9000.sys (*** hidden *** ) [SYSTEM] vdrv9000 <-- ROOTKIT !!!

s. log:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-30 00:14:34
Windows 6.0.6002 Service Pack 2
Running: z49ke5sw.exe; Driver: C:\Users\IVONNE~1\AppData\Local\Temp\kxtdafod.sys


---- System - GMER 1.0.15 ----

SSDT 9B9A40AF ZwTerminateProcess

INT 0x52 ? 8405EBF8
INT 0x52 ? 8405EBF8
INT 0x52 ? 8405EBF8
INT 0x84 ? 85BF7D68
INT 0x94 ? 85BF7D68
INT 0xA3 ? 8405EBF8
INT 0xB3 ? 8405EBF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 621 822F6D84 4 Bytes [AF, 40, 9A, 9B]
PAGELK ntkrnlpa.exe!ZwReleaseCMFViewOwnership + C341 82512000 41 Bytes [90, 90, 90, 90, 90, 8B, FF, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 25 8251202A 5 Bytes [80, 02, 38, 82, 81]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 2B 82512030 8 Bytes [9A, 57, 51, 82, 74, 07, B8, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 35 8251203A 21 Bytes [C0, EB, 04, 89, 08, 33, C0, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 4B 82512050 87 Bytes [E4, F8, 83, EC, 18, A1, 34, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + A3 825120A8 48 Bytes CALL 8228FABF \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ...
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 4 825156E3 98 Bytes [EC, 51, 53, 56, 57, FF, 35, ...]
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 68 82515747 24 Bytes [DE, 75, 1C, 8B, 4E, 04, 8B, ...]
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 81 82515760 90 Bytes CALL 82337004 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + DC 825157BB 90 Bytes [35, A8, 15, 38, 82, E8, D1, ...]
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 137 82515816 3 Bytes CALL 8231A910 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ...
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 16 825168CF 18 Bytes [F6, C1, F0, 74, 07, B8, 5F, ...]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 29 825168E2 32 Bytes [FF, FF, 75, 0C, 0F, B7, C9, ...]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 4A 82516903 5 Bytes [55, 8B, EC, 83, EC]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 50 82516909 203 Bytes [8B, 4D, 10, 83, 65, F4, 00, ...]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 11C 825169D5 13 Bytes [00, 00, 8B, 4D, F8, 3B, 4D, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 4D 82516D00 80 Bytes [C0, 5D, C2, 20, 00, 90, 90, ...]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 9E 82516D51 51 Bytes [8B, 7D, 24, 8D, 45, FC, 50, ...]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + D3 82516D86 61 Bytes [8B, 45, 08, 03, 75, FC, 3B, ...]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 111 82516DC4 6 Bytes [90, 90, 90, 90, 90, 8B]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 118 82516DCB 10 Bytes [55, 8B, EC, 83, E4, F8, 81, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 62 8251B452 32 Bytes [C0, 5D, C2, 08, 00, CC, CC, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 87 8251B477 88 Bytes [CC, CC, CC, CC, CC, CC, CC, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + E0 8251B4D0 86 Bytes [89, 75, DC, 8D, 45, F0, 50, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 137 8251B527 59 Bytes [00, 00, 00, EB, 07, C7, 46, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 173 8251B563 136 Bytes [FF, FF, 42, 8B, D9, 81, E3, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + 42 8251C157 4 Bytes [8B, 35, 24, 01]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + 47 8251C15C 34 Bytes [00, 8B, 46, 48, 4B, F6, 05, ...]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + 6A 8251C17F 94 Bytes [8E, 82, 00, 00, 00, 8B, 44, ...]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + CB 8251C1E0 27 Bytes [83, 7D, 0C, 00, 75, 2B, 8B, ...]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + E7 8251C1FC 33 Bytes [00, 8B, 58, 10, C1, E1, 0C, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 3C 8251C437 21 Bytes [75, 0A, B8, BB, 00, 00, C0, ...]
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 52 8251C44D 20 Bytes CALL 8228FADE \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 67 8251C462 3 Bytes CALL 8228FAE1 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 6B 8251C466 50 Bytes [8B, F0, 8D, 3C, 1E, 3B, DF, ...]
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 9E 8251C499 20 Bytes [FF, 83, 64, 24, 24, 00, E8, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 57 8251D57C 159 Bytes [01, 0B, 00, 00, F6, C3, 08, ...]
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + F7 8251D61C 9 Bytes [00, 00, F6, 05, C4, 16, 38, ...] {ADD [EAX], AL; TEST BYTE [0x823816c4], 0x4}
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 101 8251D626 26 Bytes [0B, FF, 35, A8, 15, 38, 82, ...]
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 11E 8251D643 1 Byte [DC]
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 11E 8251D643 12 Bytes [DC, 00, 33, C0, 40, 89, 45, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + 16 8251FBED 100 Bytes [90, 90, 90, 90, 90, 8B, FF, ...]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + 7B 8251FC52 108 Bytes [31, 81, C1, 98, 00, 00, 00, ...]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + ED 8251FCC4 1 Byte [90]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + F2 8251FCC9 63 Bytes [8B, FF, 55, 8B, EC, 83, E4, ...]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + 132 8251FD09 48 Bytes [76, 14, 68, F0, 89, 51, 82, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!PoSetHiberRange + 9 8251FD75 86 Bytes [45, 14, 83, EC, 14, 85, C0, ...]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 60 8251FDCC 291 Bytes [4D, 0C, 66, F7, C1, 00, 40, ...]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 184 8251FEF0 2 Bytes [FF, 55]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 187 8251FEF3 360 Bytes [EC, 53, 8B, 5D, 08, 56, 57, ...]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 2F0 8252005C 12 Bytes CALL 82317B6F \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ...
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + 3C 825230DD 114 Bytes [0F, 85, A6, 07, 00, 00, 83, ...]
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + AF 82523150 61 Bytes JMP 825238E4 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + ED 8252318E 117 Bytes [33, C0, 8D, 7D, A8, AB, AB, ...]
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + 163 82523204 133 Bytes CALL 822F66ED \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + 1E9 8252328A 6 Bytes [00, 8B, 00, 89, 45, 94] {ADD [EBX-0x6bba7700], CL}
PAGELK ...
? System32\Drivers\spbr.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 885C441B 5 Bytes JMP 85BF7348
.text ae4kaml1.SYS 8BCB8000 22 Bytes [82, E3, 21, 82, 6C, E2, 21, ...]
.text ae4kaml1.SYS 8BCB8017 105 Bytes [00, 32, B7, F0, 87, 3D, B5, ...]
.text ae4kaml1.SYS 8BCB8081 53 Bytes [FA, 28, 82, 98, 0E, 2F, 82, ...]
.text ae4kaml1.SYS 8BCB80B7 22 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ae4kaml1.SYS 8BCB80CE 80 Bytes [00, 00, 26, 00, 00, 00, E0, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [87E026D2] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [87E02040] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [87E027FC] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [87E020BE] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [87E0213C] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [87E12048] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortNotification] F73BFF33
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortWritePortUchar] B85F0B75
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortWritePortUlong] FFFFFFFE
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 08C25D5E
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 5D8B5300
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetScatterGatherList] 74DF3B0C
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReadPortUchar] 01FB8311
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortStallExecution] 5F5B0C74
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetParentBusType] FFFFFEB8
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortRequestCallback] C25D5EFF
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 7E390008
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetUnCachedExtension] C7077524
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortCompleteRequest] 61642446
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortMoveMemory] 7E398BCC
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] C7077528
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 61902846
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 468B8BCC
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReadPortUshort] 244E8B2C
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7468016A
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortInitialize] 500000FA
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetDeviceBase] C73BD1FF
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortDeviceStateChange] 5F5B0C75

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84E1A1F8
Device \Driver\volmgr \Device\VolMgrControl 840601F8
Device \Driver\netbt \Device\NetBT_Tcpip_{30B663FF-C7D9-465E-AB24-9185DFBD0850} 863021F8
Device \Driver\usbohci \Device\USBPDO-0 85C081F8
Device \Driver\usbehci \Device\USBPDO-1 85C001F8
Device \Driver\PCI_PNP8212 \Device\00000052 spbr.sys
Device \Driver\USBSTOR \Device\00000070 863781F8
Device \Driver\volmgr \Device\HarddiskVolume1 840601F8
Device \Driver\volmgr \Device\HarddiskVolume2 840601F8
Device \Driver\cdrom \Device\CdRom0 85C091F8
Device \Driver\volmgr \Device\HarddiskVolume3 840601F8
Device \Driver\cdrom \Device\CdRom1 85C091F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 84E191F8
Device \Driver\atapi \Device\Ide\IdePort0 84E191F8
Device \Driver\atapi \Device\Ide\IdePort1 84E191F8
Device \Driver\atapi \Device\Ide\IdePort2 84E191F8
Device \Driver\atapi \Device\Ide\IdePort3 84E191F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-7 84E191F8
Device \Driver\volmgr \Device\HarddiskVolume4 840601F8
Device \Driver\netbt \Device\NetBt_Wins_Export 863021F8
Device \Driver\Smb \Device\NetbiosSmb 862C7500
Device \Driver\iScsiPrt \Device\RaidPort0 85C351F8
Device \Driver\sptd \Device\3203663212 spbr.sys
Device \Driver\usbohci \Device\USBFDO-0 85C081F8
Device \Driver\usbehci \Device\USBFDO-1 85C001F8
Device \Driver\USBSTOR \Device\0000006d 863781F8
Device \Driver\ae4kaml1 \Device\Scsi\ae4kaml11Port5Path0Target0Lun0 85C0F500
Device \Driver\ae4kaml1 \Device\Scsi\ae4kaml11 85C0F500
Device \FileSystem\cdfs \Cdfs 85BD5500

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\DRIVERS\vdrv9000.sys (*** hidden *** ) [SYSTEM] vdrv9000 <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ServiceBinary C:\Windows\system32\drivers\VDRV9000.SYS
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Group SCSI Miniport
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ImagePath system32\DRIVERS\vdrv9000.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Tag 64
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@Count 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@NextInstance 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters\pnpinterface
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\security
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@ServiceBinary C:\Windows\system32\drivers\VDRV9000.SYS
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Group SCSI Miniport
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@ImagePath system32\DRIVERS\vdrv9000.sys
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Start 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Tag 64
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum@Count 0
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum@NextInstance 0
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\parameters\pnpinterface (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\security (not active ControlSet)

---- EOF - GMER 1.0.15 ----

neues cfscript
File-Upload.net - cfscript.txt
log posten.

Was auch immer es ist, es scheint etwas Hartnäckiges zu sein.

Combofix Logfile:
--- --- ---

neustart und gmer laufen lassen bitte

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-30 13:28:31
Windows 6.0.6002 Service Pack 2
Running: z49ke5sw.exe; Driver: C:\Users\IVONNE~1\AppData\Local\Temp\kxtdafod.sys


---- System - GMER 1.0.15 ----

SSDT 9A1B23D7 ZwTerminateProcess

INT 0x52 ? 84E15BF8
INT 0x52 ? 84E15BF8
INT 0x52 ? 84E15BF8
INT 0x84 ? 85CA4F00
INT 0x94 ? 85CA4F00
INT 0xA3 ? 84E15BF8
INT 0xB3 ? 84E15BF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 621 822ADD84 4 Bytes [D7, 23, 1B, 9A]
? System32\Drivers\spak.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 885C541B 5 Bytes JMP 85CA44E0
.text aclfc5kj.SYS 8BEC1000 22 Bytes [82, 13, 5C, 82, 6C, 12, 5C, ...]
.text aclfc5kj.SYS 8BEC1017 105 Bytes [00, 32, D7, F0, 87, 3D, D5, ...]
.text aclfc5kj.SYS 8BEC1081 53 Bytes [6A, 24, 82, 98, 7E, 2A, 82, ...]
.text aclfc5kj.SYS 8BEC10B7 22 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aclfc5kj.SYS 8BEC10CE 80 Bytes [00, 00, 26, 00, 00, 00, E0, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [87E046D2] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [87E04040] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [87E047FC] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [87E040BE] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [87E0413C] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [87E14048] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortNotification] F73BFF33
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortWritePortUchar] B85F0B75
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortWritePortUlong] FFFFFFFE
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 08C25D5E
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 5D8B5300
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetScatterGatherList] 74DF3B0C
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReadPortUchar] 01FB8311
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortStallExecution] 5F5B0C74
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetParentBusType] FFFFFEB8
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortRequestCallback] C25D5EFF
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 7E390008
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetUnCachedExtension] C7077524
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortCompleteRequest] F1642446
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortMoveMemory] 7E398BEC
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] C7077528
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] F1902846
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 468B8BEC
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReadPortUshort] 244E8B2C
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7468016A
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortInitialize] 500000FA
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetDeviceBase] C73BD1FF
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortDeviceStateChange] 5F5B0C75

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84E1A1F8
Device \Driver\volmgr \Device\VolMgrControl 84E171F8
Device \Driver\sptd \Device\2552645830 spak.sys
Device \Driver\netbt \Device\NetBT_Tcpip_{30B663FF-C7D9-465E-AB24-9185DFBD0850} 862E91F8
Device \Driver\usbohci \Device\USBPDO-0 85C8F1F8
Device \Driver\usbehci \Device\USBPDO-1 85C4C1F8
Device \Driver\PCI_PNP4580 \Device\00000052 spak.sys
Device \Driver\USBSTOR \Device\00000070 864031F8
Device \Driver\volmgr \Device\HarddiskVolume1 84E171F8
Device \Driver\volmgr \Device\HarddiskVolume2 84E171F8
Device \Driver\cdrom \Device\CdRom0 85D33500
Device \Driver\volmgr \Device\HarddiskVolume3 84E171F8
Device \Driver\cdrom \Device\CdRom1 85D33500
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 84E191F8
Device \Driver\atapi \Device\Ide\IdePort0 84E191F8
Device \Driver\atapi \Device\Ide\IdePort1 84E191F8
Device \Driver\atapi \Device\Ide\IdePort2 84E191F8
Device \Driver\atapi \Device\Ide\IdePort3 84E191F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-7 84E191F8
Device \Driver\volmgr \Device\HarddiskVolume4 84E171F8
Device \Driver\netbt \Device\NetBt_Wins_Export 862E91F8
Device \Driver\Smb \Device\NetbiosSmb 862E7500
Device \Driver\iScsiPrt \Device\RaidPort0 85C631F8
Device \Driver\usbohci \Device\USBFDO-0 85C8F1F8
Device \Driver\usbehci \Device\USBFDO-1 85C4C1F8
Device \Driver\USBSTOR \Device\0000006d 864031F8
Device \Driver\aclfc5kj \Device\Scsi\aclfc5kj1 85DA31F8
Device \Driver\aclfc5kj \Device\Scsi\aclfc5kj1Port5Path0Target0Lun0 85DA31F8
Device \FileSystem\cdfs \Cdfs 86B7A1F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...

---- EOF - GMER 1.0.15 ----

ok noch mal nach neustart avira updaten und über lokaler schutz, lokale laufwerke scannen, sollte jetzt geklappt haben

Leider nein.
AVIRA zeigt wieder den Rootkit Agent 119808 an.

Anbei aktuelles Combofix log: Keine Veränderung!!!

S2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\DRIVERS\DLPortIO.SYS [1999-01-10 3584]

.
Inhalt des "geplante Tasks" Ordners

2010-07-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-03-18 12:26]

2010-07-30 c:\windows\Tasks\User_Feed_Synchronization-{95EAF421-442E-4009-9916-1B70809362AE}.job
- c:\windows\system32\msfeedssync.exe [2010-06-11 04:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.live.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Ivonne Hamza\AppData\Roaming\Mozilla\Firefox\Profiles\q9ub2ug1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - eBay
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 2
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: content.switch.threshold - 750000
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-30 14:03
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBUCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????
CTHelper = CTHELPER.EXE?
CTxfiHlp = CTXFIHLP.EXE?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2b,b7,2e,3d,b8,cd,7d,5e,2c,03,b4,3c,10,77,0d,02,58,17,f0,82,f8,c3,15,
70,17,01,0c,27,b7,10,dc,62,74,7f,9f,ac,6b,c3,4e,ab,ca,34,ac,45,b4,39,cc,d0,\
"??"=hex:2f,1e,ee,d6,86,e8,5c,65,8e,f9,f8,66,46,db,6f,e5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\lxbucoms.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-30 14:07:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-07-30 12:07
ComboFix2.txt 2010-07-30 10:51
ComboFix3.txt 2010-07-30 09:17

Vor Suchlauf: 11 Verzeichnis(se), 10.487.185.408 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 10.448.207.872 Bytes frei

- - End Of File - - 4DD9F7832F2F1C818EBD33D3743BFFC4

Das Problem ist gelöst! Daher Kapitel schliessen.

Vielen Dank!

ok sorry war übers wochenende nicht da.
wir haben schon noch n paar kleinigkeiten zu tun
Free ESET Online Antivirus Scanner
eset online scan, log posten

Hallo Markus,
ich hoffe, Du hast Dein Wochenende in vollen Zügen genossen.

Habe den ESET SCAN mit dem Ergebnis durchgeführt, dass er keine infizierten Dateien gefunden hat.

Das log war sehr kurz. Leider habe ich vergessen, den Text zu kopieren, bevor ich auf den Weiter-Button gedrückt habe. Ich müsste den Scanprozess nun noch einmal laufen lassen. (Dauert fast eine Stunde!) Denke aber, dass das - nur, um den Original Log-Text zu bekommen - nicht nötig ist.

Hast Du noch weitere Vorschläge?