Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner VB.AGJN in C:\aa.exe (https://www.trojaner-board.de/90020-trojaner-vb-agjn-c-aa-exe.html)

honigbrot 26.08.2010 14:25
Trojaner VB.AGJN in C:\aa.exe
 
Hallo zusammen,

ich habe mir mit meinem alten Win2000-Rechner einen Trojaner eingefangen und bekomme diesen partout nicht mehr herunter.

Es handelt sich laut AVG (aktuelle Version) um den Trojaner VB.AGJN und dieser sitzt gerne mal in c:\aa.exe oder in c:\winnt\help\rundll32.exe.
Die Quarantänefunktion von AVG nützt leider nichts, da er immer wieder von Neuem auftaucht.

Über eure Hilfe wäre ich sehr dankbar, da mein Rechner auch immer langsamer zu werden scheint.

MFG
honigbrot

cosinus 26.08.2010 14:36
Hallo und :hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

honigbrot 26.08.2010 15:19
Hallo Cosinus,

vielen Dank! Natürlich auch für deine rasante Antwort.

Hier die gewünschten Logfiles von Malwarebytes:

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4478

Windows 5.0.2195 Service Pack 4
Internet Explorer 6.0.2800.1106

26.08.2010 15:49:04
mbam-log-2010-08-26 (15-49-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 105715
Laufzeit: 14 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\aa.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINNT\Help\svchost32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
und hier der von OTL

OTL Logfile:
Code:
OTL logfile created on: 26.08.2010 15:58:03 - Run 2
OTL by OldTimer - Version 3.2.10.0    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows 2000 Professional Edition Service Pack 4 (Version = 5.0.2195) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
255,00 Mb Total Physical Memory | 112,00 Mb Available Physical Memory | 44,00% Memory free
617,00 Mb Paging File | 286,00 Mb Available in Paging File | 46,00% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINNT | %ProgramFiles% = C:\Programme
Drive C: | 9,76 Gb Total Space | 4,45 Gb Free Space | 45,61% Space Free | Partition Type: FAT32
Drive D: | 28,56 Gb Total Space | 2,38 Gb Free Space | 8,32% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 7,45 Gb Total Space | 2,01 Gb Free Space | 27,00% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\AVG\AVG9\avgcsrvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgrsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgchsvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgnsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Rainlendar\Rainlendar.exe (Rainy)
PRC - C:\WINNT\system32\mstask.exe (Microsoft Corporation)
PRC - C:\WINNT\explorer.exe (Microsoft Corporation)
PRC - C:\WINNT\system32\wbem\WinMgmt.exe (Microsoft Corporation)
PRC - C:\WINNT\system32\regsvc.exe (Microsoft Corporation)
PRC - C:\WINNT\system32\stisvc.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe (Nokia Mobile Phones)
PRC - C:\WINNT\system32\internat.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINNT\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINNT\system32\lz32.dll (Microsoft Corporation)
MOD - C:\WINNT\system32\indicdll.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (avg9wd) -- C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
SRV - (Schedule) -- C:\WINNT\system32\mstask.exe (Microsoft Corporation)
SRV - (WinMgmt) -- C:\WINNT\system32\wbem\WinMgmt.exe (Microsoft Corporation)
SRV - (dmadmin) -- C:\WINNT\System32\dmadmin.exe (VERITAS Software Corp.)
SRV - (Fax) -- C:\WINNT\system32\FAXSVC.EXE (Microsoft Corporation)
SRV - (RemoteRegistry) -- C:\WINNT\system32\regsvc.exe (Microsoft Corporation)
SRV - (StiSvc) -- C:\WINNT\system32\stisvc.exe (Microsoft Corporation)
SRV - (UtilMan) -- C:\WINNT\system32\utilman.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (wanatw) WAN Miniport (ATW) -- C:\WINNT\System32\DRIVERS\wanatw4.sys File not found
DRV - (AvgTdiX) -- C:\WINNT\system32\drivers\avgtdix.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgLdx86) -- C:\WINNT\system32\drivers\avgldx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgMfx86) -- C:\WINNT\system32\drivers\avgmfx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (Cdr4_2K) -- C:\WINNT\System32\drivers\cdr4_2K.sys (Roxio)
DRV - (Cdralw2k) -- C:\WINNT\System32\drivers\cdralw2k.sys (Roxio)
DRV - (MPE) -- C:\WINNT\system32\drivers\mpe.sys (Microsoft Corporation)
DRV - (ASCTRM) -- C:\WINNT\System32\drivers\asctrm.sys (Windows (R) 2000 DDK provider)
DRV - (dmboot) -- C:\WINNT\system32\drivers\dmboot.sys (VERITAS Software Corp.)
DRV - (dmio) -- C:\WINNT\System32\drivers\dmio.sys (VERITAS Software Corp.)
DRV - (Parallel) -- C:\WINNT\system32\drivers\parallel.sys (Microsoft Corporation)
DRV - (EFS) -- C:\WINNT\System32\drivers\efs.sys (Microsoft Corporation)
DRV - (openhci) -- C:\WINNT\system32\drivers\openhci.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINNT\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (Diskperf) -- C:\WINNT\System32\drivers\diskperf.sys (Microsoft Corporation)
DRV - (dmload) -- C:\WINNT\System32\drivers\dmload.sys (VERITAS Software Corp.)
DRV - (SaiNtHid) -- C:\WINNT\system32\drivers\SaiNtHid.sys (Saitek)
DRV - (SaiNtSub) -- C:\WINNT\system32\drivers\SaiNtSub.sys (Saitek)
DRV - (nv4) -- C:\WINNT\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (SiS7012) Service for AC'97 Sample Driver (WDM) -- C:\WINNT\system32\drivers\sis7012.sys (Silicon Integrated Systems Corporation)
DRV - (Rksample) -- C:\WINNT\system32\drivers\rksample.sys (Conexant)
DRV - (basic2) -- C:\WINNT\system32\drivers\basic2.sys (Conexant)
DRV - (AmosNT) -- C:\WINNT\system32\drivers\Amosnt.sys (Conexant)
DRV - (winachsf) -- C:\WINNT\system32\drivers\winachsf.sys (Conexant)
DRV - (Fsks) -- C:\WINNT\system32\drivers\fsksnt.sys (Conexant)
DRV - (Fallback) -- C:\WINNT\system32\drivers\fallback.sys (Conexant)
DRV - (Tones) -- C:\WINNT\system32\drivers\tonesnt.sys (Conexant)
DRV - (V124) -- C:\WINNT\system32\drivers\v124nt.sys (Conexant)
DRV - (SoftFax) -- C:\WINNT\system32\drivers\faxnt.sys (Conexant Semiconductors systems)
DRV - (K56) -- C:\WINNT\system32\drivers\k56nt.sys (Conexant)
DRV - (RCA) Microsoft Streaming Network-RCA (Raw Channel Access) -- C:\WINNT\system32\drivers\rca.sys (Microsoft Corporation)
DRV - (NetDetect) -- C:\WINNT\system32\drivers\netdtect.sys (Microsoft Corporation)
DRV - (ms_mpu401) -- C:\WINNT\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (MODEMCSA) -- C:\WINNT\system32\drivers\MODEMCSA.sys (Microsoft Corporation)
DRV - (rtl8139) -- C:\WINNT\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation                                                )
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://192.168.1.1/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{3f963a5b-e555-4543-90e2-c3908898db71}: C:\Programme\AVG\AVG9\Firefox [2010.08.24 14:58:20 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2005.01.16 15:56:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2005.01.16 15:56:12 | 000,000,000 | ---D | M]
 
[2009.07.19 11:49:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2004.07.01 10:56:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions
[2007.12.17 12:42:04 | 000,000,000 | ---D | M] (Gmail Notifier) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{44d0a1b4-9c90-4f86-ac92-8680b5d6549e}
[2010.08.22 19:44:12 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.08.22 19:44:16 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
[2010.08.22 19:44:16 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2005.01.16 15:56:30 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.24 10:45:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.08.23 13:07:58 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.08.23 13:07:58 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.08.23 13:08:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.08.23 13:08:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.08.23 13:08:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([1999.12.10 12:00:00 | 000,000,820 | ---- | M]) - C:\WINNT\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AVG9_TRAY] C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe (Nokia Mobile Phones)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE (SEIKO EPSON CORPORATION)
O4 - Startup: C:\Dokumente und Einstellungen\Moll\Startmenü\Programme\Autostart\Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe (Rainy)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\Icq.exe ()
O9 - Extra 'Tools' menuitem : ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\Icq.exe ()
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINNT\system32\RNR20.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab (EPUImageControl Class)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} hxxp://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe (Reg Error: Key error.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1261906142446 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab (EPSImageControl Class)
O16 - DPF: DirectAnimation Java Classes file://C:\WINNT\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINNT\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 91.89.91.89 91.89.89.94
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O18 - Protocol\Filter\application/octet-stream - No CLSID value found
O18 - Protocol\Filter\application/x-complus - No CLSID value found
O18 - Protocol\Filter\application/x-msdownload - No CLSID value found
O18 - Protocol\Filter\Class Install Handler - No CLSID value found
O18 - Protocol\Filter\deflate - No CLSID value found
O18 - Protocol\Filter\gzip - No CLSID value found
O18 - Protocol\Filter\lzdhtml - No CLSID value found
O18 - Protocol\Filter\text/webviewhtml - No CLSID value found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINNT\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - C:\WINNT\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.)
O20 - Winlogon\Notify\wzcnotif: DllName - wzcdlg.dll - C:\WINNT\System32\wzcdlg.dll (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Moll\Eigene Dateien\Eigene Bilder\Divers\Valérie et Jürgen\Valou au zoo.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2001.12.15 14:13:42 | 000,000,134 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.26 14:39:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.26 13:58:18 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.08.25 23:29:19 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.08.25 23:03:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.08.25 23:03:30 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINNT\System32\drivers\mbamswissarmy.sys
[2010.08.25 23:03:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.08.25 23:03:27 | 000,019,288 | ---- | C] (Malwarebytes Corporation) -- C:\WINNT\System32\drivers\mbam.sys
[2010.08.25 23:03:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.24 16:10:26 | 000,108,336 | ---- | C] (Microsoft Corporation) -- C:\WINNT\System32\MSWINSCK.OCX
[2010.08.24 14:58:34 | 000,000,000 | -H-D | C] -- C:\$AVG
[2010.08.24 14:58:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9
[2010.08.24 14:57:17 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.08.24 10:51:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.08.24 10:45:44 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\deployJava1.dll
[2010.08.24 10:45:44 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\javaws.exe
[2010.08.24 10:45:44 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\javaw.exe
[2010.08.24 10:45:44 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\java.exe
[2010.08.23 13:17:11 | 001,738,816 | ---- | C] (Microsoft Corporation) -- C:\WINNT\System32\dllcache\NTKRPAMP.EXE
[2010.08.23 13:17:11 | 001,717,504 | ---- | C] (Microsoft Corporation) -- C:\WINNT\System32\dllcache\NTKRNLMP.EXE
[3 C:\Dokumente und Einstellungen\***\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\***\Eigene Dateien\*.tmp -> ]
[2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.26 15:57:44 | 005,578,752 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.08.26 15:52:54 | 000,000,006 | -H-- | M] () -- C:\WINNT\tasks\SA.DAT
[2010.08.26 15:52:52 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_1fc.dat
[2010.08.26 14:39:46 | 000,000,457 | ---- | M] () -- C:\Dokumente und Einstellungen\Moll\Desktop\CCleaner.lnk
[2010.08.26 13:58:30 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.08.26 09:31:00 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_204.dat
[2010.08.25 23:03:36 | 000,000,457 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.24 16:10:32 | 000,108,336 | ---- | M] (Microsoft Corporation) -- C:\WINNT\System32\MSWINSCK.OCX
[2010.08.24 15:08:04 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_200.dat
[2010.08.24 14:58:28 | 000,243,024 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\drivers\avgtdix.sys
[2010.08.24 14:58:28 | 000,216,400 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\drivers\avgldx86.sys
[2010.08.24 14:58:28 | 000,012,536 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\avgrsstx.dll
[2010.08.24 14:58:28 | 000,001,248 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AVG Free 9.0.lnk
[2010.08.24 14:58:26 | 000,029,584 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\drivers\avgmfx86.sys
[2010.08.24 10:45:48 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_65c.dat
[2010.08.23 13:43:06 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_2b8.dat
[2010.08.23 13:42:50 | 000,102,232 | ---- | M] () -- C:\WINNT\System32\FNTCACHE.DAT
[2010.08.23 12:57:16 | 000,000,343 | ---- | M] () -- C:\WINNT\wincmd.ini
[3 C:\Dokumente und Einstellungen\Moll\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\***\Eigene Dateien\*.tmp -> ]
[2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.26 15:52:51 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_1fc.dat
[2010.08.26 14:39:45 | 000,000,457 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.08.26 09:30:58 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_204.dat
[2010.08.25 23:03:34 | 000,000,457 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.24 15:08:02 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_200.dat
[2010.08.24 14:58:26 | 000,001,248 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AVG Free 9.0.lnk
[2010.08.24 10:45:46 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_65c.dat
[2010.08.23 13:43:04 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_2b8.dat
[2009.12.27 10:41:40 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.12.19 12:49:56 | 000,116,224 | ---- | C] () -- C:\WINNT\System32\pdfcmnnt.dll
[2006.09.11 13:11:21 | 000,003,299 | ---- | C] () -- C:\WINNT\tm.ini
[2006.02.11 18:18:01 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.03.25 16:32:51 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.01.24 20:19:34 | 000,354,816 | ---- | C] () -- C:\WINNT\System32\psisdecd.dll
[2005.01.16 19:54:53 | 000,000,192 | ---- | C] () -- C:\WINNT\winamp.ini
[2004.06.27 14:31:43 | 000,000,002 | ---- | C] () -- C:\WINNT\msoffice.ini
[2004.05.30 13:21:25 | 000,000,156 | ---- | C] () -- C:\WINNT\matlab.ini
[2004.03.06 12:59:21 | 000,000,000 | ---- | C] () -- C:\WINNT\OPPRIN~1.INI
[2003.10.06 22:46:45 | 000,000,343 | ---- | C] () -- C:\WINNT\wincmd.ini
[2003.04.06 16:57:29 | 000,106,496 | ---- | C] () -- C:\WINNT\System32\SaiCfg.dll
[2002.10.02 10:13:46 | 000,073,728 | ---- | C] () -- C:\WINNT\System32\XptHttp.dll
[2002.03.21 14:39:02 | 000,073,728 | ---- | C] () -- C:\WINNT\System32\UNACEV2.DLL
[2001.12.24 17:04:21 | 001,253,376 | ---- | C] () -- C:\WINNT\System32\elsagfx.dll
[2001.12.22 11:24:41 | 000,001,025 | ---- | C] () -- C:\WINNT\ODBC.INI
[2001.12.22 11:24:41 | 000,000,063 | ---- | C] () -- C:\WINNT\mdm.ini
[2001.12.22 11:24:36 | 000,000,000 | ---- | C] () -- C:\WINNT\NSREX.INI
[2001.12.22 11:02:39 | 000,303,354 | ---- | C] () -- C:\WINNT\System32\PerfStringBackup_001.INI
[2001.12.15 14:12:57 | 000,022,080 | -H-- | C] () -- C:\Programme\folder.htt
[1999.12.10 12:00:00 | 000,176,400 | ---- | C] () -- C:\WINNT\System32\qcut.dll
[1999.12.10 12:00:00 | 000,034,064 | ---- | C] () -- C:\WINNT\System32\efsadu.dll
[1999.12.10 12:00:00 | 000,014,413 | ---- | C] () -- C:\WINNT\System32\iasperf.ini
[1999.12.10 12:00:00 | 000,003,056 | ---- | C] () -- C:\WINNT\System32\faxperf.ini
[1999.12.10 12:00:00 | 000,000,023 | ---- | C] () -- C:\WINNT\welcome.ini
[1999.09.25 10:36:24 | 000,088,816 | ---- | C] () -- C:\WINNT\System32\drivers\lvcam.sys
[1999.09.25 10:36:22 | 000,017,424 | ---- | C] () -- C:\WINNT\System32\drivers\lvsound.sys
[1999.04.29 23:00:00 | 000,065,536 | ---- | C] () -- C:\WINNT\System32\MSRTEDIT.DLL
< End of report >
--- --- ---
komischerweise wurde mir hier nur ein Log erstellt.
Wo finde ich denn den zweiten?

Vielen Dank schonmal für die Auswertung.

MFG
honigbrot

cosinus 26.08.2010 19:26
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50318
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O33 - MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\Shell\AutoRun\command - "" = pccompanion\Startme.exe
O33 - MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\Shell\menu1\command - "" = pccompanion\Startme.exe
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell00\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell01\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell02\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\Shell - "" = AutoRun
O33 - MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\Shell\AutoRun\command - "" = H:\Startme.exe -- File not found
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

honigbrot 26.08.2010 21:37
Guten Abend,

ich habe die obige Anweisung befolgt und erhielt folgenden log:

Zitat:
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
File pccompanion\Startme.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
File pccompanion\Startme.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
File H:\Startme.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File G:\Autorun.exe not found.
========== COMMANDS ==========
C:\WINNT\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: ***
->Temp folder emptied: 27695052 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 69674094 bytes
->Flash cache emptied: 39532 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 13785 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: shell32.dll unable to determine bytes removed.

Total Files Cleaned = 93,00 mb


OTL by OldTimer - Version 3.2.10.0 log created on 08262010_223045

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Bräuchte hier allerdings wieder Hilfe um das zu deuten.

Herzlichen Dank schonmal und einen schönen Abend noch,
honigbrot

cosinus 26.08.2010 22:11
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

honigbrot 27.08.2010 08:46
Moin moin,

da schein ich mir ja einen äusserst hartnäckigen Zeitgenossen eingefangen zu haben.

Hier der cofi-log:

Combofix Logfile:
Code:
ComboFix 10-08-26.02 - *** 27.08.2010  9:33.1.1 - FAT32x86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.49.1031.18.255.60 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Moll\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\winnt\Help\svchost32.exe
c:\winnt\Web\default.htt

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-27 bis 2010-08-27  ))))))))))))))))))))))))))))))
.

2010-08-27 07:34 . 2010-08-27 07:34        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_6cc.dat
2010-08-27 07:32 . 2010-08-27 07:32        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_374.dat
2010-08-26 20:30 . 2010-08-26 20:30        --------        d-----w-        C:\_OTL
2010-08-26 19:53 . 2010-08-27 06:28        32768        ----a-w-        C:\aa.exe
2010-08-26 13:52 . 2010-08-26 13:52        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_1fc.dat
2010-08-26 12:39 . 2010-08-26 12:39        --------        d-----w-        c:\programme\CCleaner
2010-08-25 21:03 . 2010-08-25 21:03        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39        38224        ----a-w-        c:\winnt\system32\drivers\mbamswissarmy.sys
2010-08-25 21:03 . 2010-08-25 21:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39        19288        ----a-w-        c:\winnt\system32\drivers\mbam.sys
2010-08-25 21:03 . 2010-08-25 21:03        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-24 13:08 . 2010-08-24 13:08        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_200.dat
2010-08-24 12:58 . 2010-08-24 12:58        --------        d-----w-        C:\$AVG
2010-08-24 12:58 . 2010-08-24 12:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-08-24 08:46 . 2010-08-24 08:46        503808        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcp71.dll
2010-08-24 08:46 . 2010-08-24 08:46        61440        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-sse.dll
2010-08-24 08:46 . 2010-08-24 08:46        499712        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\jmc.dll
2010-08-24 08:46 . 2010-08-24 08:46        348160        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcr71.dll
2010-08-24 08:46 . 2010-08-24 08:46        12800        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-d3d.dll
2010-08-24 08:45 . 2010-08-24 08:45        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_65c.dat
2010-08-24 08:45 . 2010-07-17 03:00        423656        ----a-w-        c:\winnt\system32\deployJava1.dll
2010-08-23 11:43 . 2010-08-23 11:43        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_2b8.dat
2010-08-23 11:17 . 2010-02-18 12:15        1738816        ----a-w-        c:\winnt\system32\dllcache\NTKRPAMP.EXE
2010-08-23 11:17 . 2010-02-18 12:15        1717504        ----a-w-        c:\winnt\system32\dllcache\NTKRNLMP.EXE

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 12:58 . 2009-07-19 10:04        243024        ----a-w-        c:\winnt\system32\drivers\avgtdix.sys
2010-08-24 12:58 . 2009-07-19 10:04        216400        ----a-w-        c:\winnt\system32\drivers\avgldx86.sys
2010-08-24 12:58 . 2009-07-19 10:04        12536        ----a-w-        c:\winnt\system32\avgrsstx.dll
2010-08-24 12:58 . 2007-03-17 08:13        29584        ----a-w-        c:\winnt\system32\drivers\avgmfx86.sys
2010-06-11 17:03 . 2010-06-11 17:03        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_2bc.dat
2001-12-22 09:08 . 2001-12-15 12:12        22080        ---h--w-        c:\programme\folder.htt
.

------- Sigcheck -------

[-] 2002-12-12 13:05 . 9F39F1C2EF9C4EB1D8FB1AE8F901F26D . 52736 . . [ERROR: 0x0] . . c:\winnt\system32\mspmsnsv.dll

[-] 2004-07-09 02:27 . 1A35630FD53984D5DBB81FCCC302AE22 . 1689600 . . [ERROR: 0x0] . . c:\winnt\system32\d3d9.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Synchronization Manager"="mobsync.exe" [2003-06-19 112400]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-01-25 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Nokia Tray Application"="c:\programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" [2002-10-22 598016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-08-24 2065760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2006-1-21 118784]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
EPSON Status Monitor 3 Environment Check.lnk - c:\winnt\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [2004-7-5 121856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-08-24 12:58        12536        ----a-w-        c:\winnt\system32\avgrsstx.dll

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\winnt\system32\drivers\avgldx86.sys [19.07.2009 12:04 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\winnt\system32\drivers\avgtdix.sys [19.07.2009 12:04 243024]
R2 AmosNT;AmosNT;c:\winnt\system32\drivers\Amosnt.sys [24.12.2001 17:13 244520]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [24.08.2010 14:58 308136]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\drivers\openhci.sys [10.12.1999 12:00 24784]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [24.12.2001 17:10 38946]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://192.168.1.1/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-SiS7012 - c:\progra~1\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-27 09:37
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(168)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(232)
c:\winnt\system32\mpr.dll
.
Zeit der Fertigstellung: 2010-08-27  09:39:19
ComboFix-quarantined-files.txt  2010-08-27 07:39

Vor Suchlauf: 4.747.206.656 Bytes frei
Nach Suchlauf: 4.722.262.016 Bytes frei

- - End Of File - - C2F22AC0451CA14A035A5F36E810C6F5
--- --- ---


Meinst du der Trojaner ist nun beseitigt?

Jedenfalls vielen Dank für deine Unterstützung!!

MFG
honig

cosinus 27.08.2010 10:56
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
http://www.trojaner-board.de/90020-trojaner-vb-agjn-c-aa-exe.html

Collect::
C:\aa.exe
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

honigbrot 27.08.2010 14:46
Hallo Arne,

habe deine Anweisung wieder brav befolgt.

Hier der Log, den ich bekommen habe:

Combofix Logfile:
Code:
ComboFix 10-08-26.04 - *** 27.08.2010  14:48:34.2.1 - FAT32x86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.49.1031.18.255.80 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt

file zipped: C:\aa.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\aa.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-27 bis 2010-08-27  ))))))))))))))))))))))))))))))
.

2010-08-27 12:48 . 2010-08-27 12:48        32768        ----a-w-        C:\Collect_aa.exe.vir
2010-08-27 12:47 . 2010-08-27 12:47        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_384.dat
2010-08-27 07:32 . 2010-08-27 07:32        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_374.dat
2010-08-26 20:30 . 2010-08-26 20:30        --------        d-----w-        C:\_OTL
2010-08-26 13:52 . 2010-08-26 13:52        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_1fc.dat
2010-08-26 12:39 . 2010-08-26 12:39        --------        d-----w-        c:\programme\CCleaner
2010-08-25 21:03 . 2010-08-25 21:03        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39        38224        ----a-w-        c:\winnt\system32\drivers\mbamswissarmy.sys
2010-08-25 21:03 . 2010-08-25 21:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39        19288        ----a-w-        c:\winnt\system32\drivers\mbam.sys
2010-08-25 21:03 . 2010-08-25 21:03        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-24 13:08 . 2010-08-24 13:08        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_200.dat
2010-08-24 12:58 . 2010-08-24 12:58        --------        d-----w-        C:\$AVG
2010-08-24 12:58 . 2010-08-24 12:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-08-24 08:46 . 2010-08-24 08:46        503808        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcp71.dll
2010-08-24 08:46 . 2010-08-24 08:46        61440        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-sse.dll
2010-08-24 08:46 . 2010-08-24 08:46        499712        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\jmc.dll
2010-08-24 08:46 . 2010-08-24 08:46        348160        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcr71.dll
2010-08-24 08:46 . 2010-08-24 08:46        12800        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-d3d.dll
2010-08-24 08:45 . 2010-08-24 08:45        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_65c.dat
2010-08-24 08:45 . 2010-07-17 03:00        423656        ----a-w-        c:\winnt\system32\deployJava1.dll
2010-08-23 11:43 . 2010-08-23 11:43        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_2b8.dat
2010-08-23 11:17 . 2010-02-18 12:15        1738816        ----a-w-        c:\winnt\system32\dllcache\NTKRPAMP.EXE
2010-08-23 11:17 . 2010-02-18 12:15        1717504        ----a-w-        c:\winnt\system32\dllcache\NTKRNLMP.EXE

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 12:58 . 2009-07-19 10:04        243024        ----a-w-        c:\winnt\system32\drivers\avgtdix.sys
2010-08-24 12:58 . 2009-07-19 10:04        216400        ----a-w-        c:\winnt\system32\drivers\avgldx86.sys
2010-08-24 12:58 . 2009-07-19 10:04        12536        ----a-w-        c:\winnt\system32\avgrsstx.dll
2010-08-24 12:58 . 2007-03-17 08:13        29584        ----a-w-        c:\winnt\system32\drivers\avgmfx86.sys
2010-06-11 17:03 . 2010-06-11 17:03        16384        ----a-w-        c:\winnt\system32\Perflib_Perfdata_2bc.dat
2001-12-22 09:08 . 2001-12-15 12:12        22080        ---h--w-        c:\programme\folder.htt
.

------- Sigcheck -------

[-] 2002-12-12 13:05 . 9F39F1C2EF9C4EB1D8FB1AE8F901F26D . 52736 . . [ERROR: 0x0] . . c:\winnt\system32\mspmsnsv.dll

[-] 2004-07-09 02:27 . 1A35630FD53984D5DBB81FCCC302AE22 . 1689600 . . [ERROR: 0x0] . . c:\winnt\system32\d3d9.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Synchronization Manager"="mobsync.exe" [2003-06-19 112400]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-01-25 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Nokia Tray Application"="c:\programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" [2002-10-22 598016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-08-24 2065760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2006-1-21 118784]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
EPSON Status Monitor 3 Environment Check.lnk - c:\winnt\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [2004-7-5 121856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-08-24 12:58        12536        ----a-w-        c:\winnt\system32\avgrsstx.dll

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\winnt\system32\drivers\avgldx86.sys [19.07.2009 12:04 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\winnt\system32\drivers\avgtdix.sys [19.07.2009 12:04 243024]
R2 AmosNT;AmosNT;c:\winnt\system32\drivers\Amosnt.sys [24.12.2001 17:13 244520]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [24.08.2010 14:58 308136]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\drivers\openhci.sys [10.12.1999 12:00 24784]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [24.12.2001 17:10 38946]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://192.168.1.1/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-27 14:52
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(168)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(232)
c:\winnt\system32\mpr.dll
.
Zeit der Fertigstellung: 2010-08-27  14:54:10
ComboFix-quarantined-files.txt  2010-08-27 12:54
ComboFix2.txt  2010-08-27 07:39

Vor Suchlauf: 4.719.411.200 Bytes frei
Nach Suchlauf: 4.714.930.176 Bytes frei

- - End Of File - - BBFA4BFF41DC03210EBE9337A85B42D8
--- --- ---
Hochladen war erfolgreich
[/QUOTE]

Was meinst du ist der Trojaner nun erledigt?

Vielen Dank nochmals für deine Hilfe.

Grüsse,
honig

cosinus 27.08.2010 18:58
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

honigbrot 29.08.2010 12:54
Hallo cosinus,

hier die entsprechenden log-files:

GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-29 13:11:40
Windows 5.0.2195 Service Pack 4
Running: y19bnw8u.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdypod.sys


---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!CreateProcessW]          [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryW]            [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!GetProcAddress]          [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!FreeLibrary]              [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryA]            [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessA]  [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!FreeLibrary]    [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryExW]    [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!FreeLibrary]        [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]    [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExA]  [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessA]  [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessA]    [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!FreeLibrary]        [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryExW]    [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!FreeLibrary]    [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]  [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service        C:\WINNT\system32\MSTask.exe? (*** hidden *** )                                            [AUTO] Schedule                                                                                    <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
--- --- ---


OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:47:17 on 29.08.2010

OS: Windows 2000 Professional Service Pack 4 (Build 2195)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2800.1106

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINNT\system32\JAVACPL.CPL
"JOY.CPL" - "Microsoft Corporation" - C:\WINNT\system32\JOY.CPL
"PREFSCPL.CPL" - "RealNetworks, Inc." - C:\WINNT\system32\PREFSCPL.CPL
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINNT\system32\QuickTime.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Configuration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"NclConf" - "Nokia Mobile Phones" - C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"%SAINTHID_NAME%" (SaiNtHid) - "Saitek" - C:\WINNT\System32\DRIVERS\SaiNtHid.sys
"ASCTRM" (ASCTRM) - "Windows (R) 2000 DDK provider" - C:\WINNT\system32\drivers\ASCTRM.sys
"AVG Free AVI Loader Driver x86" (AvgLdx86) - "AVG Technologies CZ, s.r.o." - C:\WINNT\System32\Drivers\avgldx86.sys
"AVG Free Network Redirector" (AvgTdiX) - "AVG Technologies CZ, s.r.o." - C:\WINNT\System32\Drivers\avgtdix.sys
"AVG Free On-access Scanner Minifilter Driver x86" (AvgMfx86) - "AVG Technologies CZ, s.r.o." - C:\WINNT\System32\Drivers\avgmfx86.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Moll\LOKALE~1\Temp\catchme.sys  (File not found)
"Cdr4_2K" (Cdr4_2K) - "Roxio" - C:\WINNT\system32\drivers\Cdr4_2K.sys
"Cdralw2k" (Cdralw2k) - "Roxio" - C:\WINNT\system32\drivers\Cdralw2k.sys
"Changer" (Changer) - ? - C:\WINNT\system32\drivers\Changer.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINNT\system32\drivers\lbrtfdc.sys  (File not found)
"nv4" (nv4) - "NVIDIA Corporation" - C:\WINNT\System32\DRIVERS\nv4_mini.sys
"PCIDump" (PCIDump) - ? - C:\WINNT\system32\drivers\PCIDump.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINNT\System32\DRIVERS\PxHelp20.sys
"pxtdypod" (pxtdypod) - ? - C:\DOKUME~1\Moll\LOKALE~1\Temp\pxtdypod.sys  (Hidden registry entry, rootkit activity | File not found)
"SaiNtSub" (SaiNtSub) - "Saitek" - C:\WINNT\System32\DRIVERS\SaiNtSub.sys
"Service for AC'97 Sample Driver (WDM)" (SiS7012) - "Silicon Integrated Systems Corporation" - C:\WINNT\System32\drivers\sis7012.sys
"sglfb" (sglfb) - ? - C:\WINNT\system32\drivers\sglfb.sys  (File not found)
"tga" (tga) - ? - C:\WINNT\system32\drivers\tga.sys  (File not found)
"WAN Miniport (ATW)" (wanatw) - ? - C:\WINNT\System32\DRIVERS\wanatw4.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} "CRLUpdate" - "Microsoft Corporation" - %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINNT\system32\Rundll32.exe c:\WINNT\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
{F274614C-63F8-47D5-A4D1-FBDDE494F8D1} "XPLPPFilter Class" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgpp.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{1EBC3533-B289-409F-9924-B84B3F0717D2} "AceFTP Context Menu Shell Extension" - "Visicom Media Inc." - C:\PROGRA~1\VISICO~1\FTPEXP~1\FTPCNT~1.DLL
{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} "AVG Find Extension" - ? -  (File not found | COM-object registry key not found)
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} "AVG Shell Extension Class" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgse.dll
{F802F260-519B-11D1-BB5D-0060974C6013} "ICQ Shell Extension" - ? - C:\Programme\ICQ\ICQShExt.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -  (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINNT\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shell-Erweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINNT\system32\dfshim.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "Systemsteuerungserweiterung für die Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu (Add) Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll
{8FF88D21-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll
{8FF88D25-7BD0-11D1-BFB7-00AA00262A11} "WinAceDrag-Drop Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll
{8FF88D23-7BD0-11D1-BFB7-00AA00262A11} "WinAceProperty Sheet Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Poker.com" - "Ingenic" - C:\Programme\Poker.com\Poker.exe
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -  (File not found | COM-object registry key not found) / file://C:\WINNT\Java\classes\dajava.cab
{E855A2D4-987E-4F3B-A51C-64D10A7E2479} "EPSImageControl Class" - "eBay Inc." - C:\WINNT\Downloaded Program Files\EPScontrol.dll / hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
{4C39376E-FA9D-4349-BACC-D305C1750EF3} "EPUImageControl Class" - "eBay, Inc." - C:\WINNT\Downloaded Program Files\EPUWALcontrol.dll / hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINNT\Java\classes\xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINNT\system32\Macromed\Flash\Flash9.ocx / hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
{62475759-9E84-458E-A1AB-5D2C442ADFDE} "{62475759-9E84-458E-A1AB-5D2C442ADFDE}" - ? -  (File not found | COM-object registry key not found) / hxxp://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@shdoclc.dll,-866" - ? - C:\WINNT\web\related.htm
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"ICQ" - ? - C:\Programme\ICQ\ICQ.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "AVG Safe Search" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgssie.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"EPSON Status Monitor 3 Environment Check.lnk" - "SEIKO EPSON CORPORATION" - C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE  (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"Rainlendar.lnk" - "Rainy" - C:\Programme\Rainlendar\Rainlendar.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"AVG9_TRAY" - "AVG Technologies CZ, s.r.o." - C:\PROGRA~1\AVG\AVG9\avgtray.exe
"Nokia Tray Application" - "Nokia Mobile Phones" - C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"EPSON V3 2KMonitor64" - "SEIKO EPSON CORPORATION" - C:\WINNT\system32\E_SL2064.DLL
"PDFCreator" - ? - C:\WINNT\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"AVG Free WatchDog" (avg9wd) - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgwdsvc.exe
"Dienst für Seriennummern der tragbaren Medien" (WmdmPmSN) - "Microsoft Corporation" - C:\WINNT\system32\mspmsnsv.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"WMDM PMSP Service" (WMDM PMSP Service) - "Microsoft Corporation" - C:\WINNT\System32\mspmspsv.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"avgrsstarter" - "AVG Technologies CZ, s.r.o." - C:\WINNT\system32\avgrsstx.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

Zitat:
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows 2000 Professional Service Pack 4 (build 2195)

NtOpenDirectoryObject() fails; status: 0xc0000034
LogPrintDeviceObjects(): Error while requesting device objects info
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
ProcessPhysicalDisc(): DeviceIoControl() ERROR 1
ERROR: No physical disks found

Done;
Press any key to quit...
Mein Rechner scheint wieder zügiger zu arbeiten.

Herzlichen Dank schonmal.

Grüsse,
honig

honigbrot 29.08.2010 14:48
Update: die aa.exe ist eben wieder in c:\\ aufgetaucht :headbang:

cosinus 29.08.2010 20:11
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
files to delete:
c:\aa.exe
C:\WINNT\system32\MSTask.exe
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

honigbrot 29.08.2010 20:51
Nabend cosinus,

hier die log-file:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\aa.exe" deleted successfully.
File "C:\WINNT\system32\MSTask.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
und hier der Link für die Datei c:\avenger\backup.zip :

hxxp://www.file-upload.net/download-2785119/backup.zip.html

Grüsse,
honigbrot

cosinus 29.08.2010 21:08
Ok. Mach mal ein neues Log mit GMER und poste es. Danach:


Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

honigbrot 29.08.2010 21:30
Ok, ist gemacht.

Hier die gmer-log:

GMER Logfile:
Code:
GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-29 22:29:31
Windows 5.0.2195 Service Pack 4
Running: y19bnw8u.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdypod.sys


---- Kernel code sections - GMER 1.0.15 ----

?              wbvr.sys                                                                                    Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!CreateProcessW]          [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryW]            [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!GetProcAddress]          [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!FreeLibrary]              [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryA]            [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessA]  [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!FreeLibrary]    [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryExW]    [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!FreeLibrary]        [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]    [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExA]  [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessA]  [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessA]    [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!FreeLibrary]        [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryExW]    [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!FreeLibrary]    [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]  [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINNT\Explorer.EXE[1228] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----[/QUOTE]
--- --- ---
und hier der MBRCheck:

Zitat:
BRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 2000 Professional
Windows Information: Service Pack 4 (build 2195)
Logical Drives Mask: 0x0000003d

Kernel Drivers (total 109):
0x80400000 \WINNT\System32\ntoskrnl.exe
0x80062000 \WINNT\System32\hal.dll
0xED410000 \WINNT\System32\BOOTVID.dll
0xED000000 wbvr.sys
0xBFFD8000 ACPI.sys
0xED5C8000 \WINNT\System32\DRIVERS\WMILIB.SYS
0xED010000 pci.sys
0xED020000 isapnp.sys
0xED5C9000 pciide.sys
0xED280000 \WINNT\System32\DRIVERS\PCIIDEX.SYS
0xED288000 MountMgr.sys
0xBFFBB000 ftdisk.sys
0xED500000 Diskperf.sys
0xED502000 dmload.sys
0xBFF99000 dmio.sys
0xED414000 PartMgr.sys
0xBFF83000 atapi.sys
0xED290000 disk.sys
0xED030000 \WINNT\System32\DRIVERS\CLASSPNP.SYS
0xBFF61000 fltmgr.sys
0xED298000 PxHelp20.sys
0xBFF3E000 Fastfat.sys
0xBFF2C000 KSecDD.sys
0xBFF02000 NDIS.sys
0xBFEEC000 Mup.sys
0xED060000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xBFE16000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xED070000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xED2C0000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xED2D0000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xED2E0000 \SystemRoot\System32\DRIVERS\fdc.sys
0xED080000 \SystemRoot\System32\DRIVERS\serial.sys
0xED484000 \SystemRoot\System32\DRIVERS\serenum.sys
0xED2F8000 \SystemRoot\System32\DRIVERS\parport.sys
0xED48C000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xBFDD1000 \SystemRoot\system32\drivers\KS.SYS
0xBFDF1000 \SystemRoot\system32\drivers\portcls.sys
0xED5DF000 \SystemRoot\system32\drivers\msmpu401.sys
0xED330000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xED318000 \SystemRoot\System32\DRIVERS\openhci.sys
0xED090000 \SystemRoot\System32\Drivers\Cdr4_2K.SYS
0xED348000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xED358000 \SystemRoot\System32\Drivers\Cdralw2k.SYS
0xED0A0000 \SystemRoot\system32\drivers\sis7012.sys
0xED0B0000 \SystemRoot\System32\DRIVERS\rksample.sys
0xBFD6A000 \SystemRoot\System32\DRIVERS\winachsf.sys
0xED380000 \SystemRoot\System32\Drivers\Modem.SYS
0xED5ED000 \SystemRoot\System32\DRIVERS\audstub.sys
0xED0C0000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xED49C000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xBFD53000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xED4AC000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xED0D0000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xED3B0000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xED3C0000 \SystemRoot\System32\DRIVERS\raspti.sys
0xED0E0000 \SystemRoot\System32\DRIVERS\parallel.sys
0xED5F7000 \SystemRoot\System32\DRIVERS\swenum.sys
0xBFD00000 \SystemRoot\System32\DRIVERS\update.sys
0xED3D8000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xED110000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xED4B8000 \SystemRoot\system32\drivers\MODEMCSA.sys
0xED130000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xED3E8000 \SystemRoot\System32\DRIVERS\usbprint.sys
0xED514000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xED604000 \SystemRoot\System32\Drivers\Null.SYS
0xED606000 \SystemRoot\System32\Drivers\Beep.SYS
0xED4D4000 \SystemRoot\System32\drivers\vga.sys
0xED609000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xED408000 \SystemRoot\System32\Drivers\Msfs.SYS
0xED140000 \SystemRoot\System32\Drivers\Npfs.SYS
0xED51C000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xBEC91000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xED150000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xED2B8000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xBEBB7000 \SystemRoot\System32\Drivers\avgtdix.sys
0xBEB8C000 \SystemRoot\System32\DRIVERS\netbt.sys
0xED160000 \SystemRoot\System32\DRIVERS\netbios.sys
0xBEB62000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xBEAC2000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xED2E8000 \SystemRoot\System32\Drivers\avgmfx86.sys
0xBEA8E000 \SystemRoot\System32\Drivers\avgldx86.sys
0xED638000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBEA78000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xA0000000 \??\C:\WINNT\system32\win32k.sys
0xBC86A000 \SystemRoot\System32\nv4_disp.dll
0xBC4B3000 \SystemRoot\System32\drivers\afd.sys
0xED308000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xED2D8000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xED53C000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xBC440000 \SystemRoot\System32\DRIVERS\amosnt.sys
0xED540000 \SystemRoot\System32\Drivers\ASCTRM.SYS
0xBEC01000 \SystemRoot\System32\DRIVERS\basic2.sys
0xBC3FA000 \SystemRoot\System32\DRIVERS\fallback.sys
0xED190000 \SystemRoot\System32\Drivers\Fips.SYS
0xBC343000 \SystemRoot\System32\DRIVERS\fsksnt.sys
0xBC331000 \SystemRoot\system32\drivers\wdmaud.sys
0xBC2AA000 \SystemRoot\System32\DRIVERS\k56nt.sys
0xBC581000 \SystemRoot\system32\drivers\sysaudio.sys
0xBC111000 \SystemRoot\System32\DRIVERS\faxnt.sys
0xBC0D3000 \SystemRoot\System32\DRIVERS\srv.sys
0xBC3AA000 \SystemRoot\System32\DRIVERS\tonesnt.sys
0xBBFEE000 \SystemRoot\System32\DRIVERS\v124nt.sys
0xBC36A000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBBD0D000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xBBC59000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xBB862000 \??\C:\DOKUME~1\***\LOKALE~1\Temp\pxtdypod.sys
0xBB83D000 \SystemRoot\system32\drivers\kmixer.sys
0xED3F8000 \SystemRoot\System32\DRIVERS\RTL8139.SYS
0x77880000 \WINNT\System32\ntdll.dll

Processes (total 29):
0 System Idle Process
8 System
144 \SystemRoot\System32\smss.exe
172 csrss.exe
168 \??\C:\WINNT\system32\winlogon.exe
220 C:\WINNT\system32\services.exe
232 C:\WINNT\system32\lsass.exe
412 C:\WINNT\system32\svchost.exe
436 C:\WINNT\system32\spoolsv.exe
464 C:\Programme\AVG\AVG9\avgwdsvc.exe
484 C:\WINNT\System32\svchost.exe
512 C:\Programme\Java\jre6\bin\jqs.exe
568 C:\WINNT\system32\regsvc.exe
684 C:\Programme\AVG\AVG9\avgnsx.exe
780 C:\WINNT\system32\stisvc.exe
868 C:\WINNT\System32\WBEM\WinMgmt.exe
916 C:\WINNT\System32\mspmspsv.exe
928 C:\WINNT\system32\svchost.exe
1268 C:\Programme\AVG\AVG9\avgchsvx.exe
1276 C:\Programme\AVG\AVG9\avgrsx.exe
1344 C:\Programme\AVG\AVG9\avgcsrvx.exe
1228 C:\WINNT\Explorer.EXE
1716 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1744 C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
1748 C:\PROGRA~1\AVG\AVG9\avgtray.exe
840 C:\WINNT\system32\internat.exe
1828 C:\Programme\Rainlendar\Rainlendar.exe
1704 C:\Programme\Mozilla Firefox\firefox.exe
492 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

WARNING: Unsupported Windows version! Results may not be accurate!
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000002`7116f400 (FAT32)

PhysicalDrive0 Model Number: IC35L040AVVA07-0, Rev: VA2OA52A

Size Device Name MBR Status
--------------------------------------------
38 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: F0D1E7BBDB86653AE096A20454A3BB8450519069


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!
was meinst du?

MFG honig

cosinus 29.08.2010 22:16
Oh, Windows 2000 wird garnicht mehr unterstützt :stirn:

Hast Du eine Windows-2000-CD griffbereit da liegen? Ohne die wirds sehr schwierig den MBR zu fixen.

honigbrot 30.08.2010 07:28
Hm, da müsst ich mal schauen. Watt muss denn beim MBR gefixed werden?

Ne alte XP-CD hätt ich noch rumliegen. Ist nur die Frage, ob die auch auf dem alten Rechner läuft.

grüsse honig

cosinus 30.08.2010 13:37
Naja, das Problem ist, dass in letzter Zeit die Schädlinge massiv den MBR vergewaltigen. Dazu muss man dann einen neuen schreiben, geht unter Windows 2000 und XP nur mit der Recovery-Konsole. Dazu braucht man aber idR die Windows-CD für. Eine Windows-XP-CD müsste auch für Windows 2000 gehen.

Starte davon den Windows2000 Rechner mal. Im ersten Menü R für Wiederherstellungskonsole drücken. Ist Kommandozeilen basiert. Da musst Du die Befehle fixmbr eintippen (danach Enter) anschließend fixboot (und wieder Enter) - beide Warnungen mit j bestätigen. Da passiert kein Datenverlust, auch wenn Die Warnung da kommt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131