Trojaner-Board - Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert (https://www.trojaner-board.de/90738-meldung-windows-security-alert-av-security-suite-antivirus-software-alert.html)

Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert

Hallo zusammen,

seit Kurzem (ungefähr Samstag, 11.09.2010) kommt auf meinem Rechner (Windows XP) nach dem Start die Windows Service Alert Meldung.
Diese verhindert, dass ich alle Programme öffnen kann und sagt, dass die ausgewählte Datei infiziert ist.
Ich habe schon andere Beiträge genau zu diesem Problem gefunden (dieser hier beschreibt mein Problem eigentlich exakt: http://www.trojaner-board.de/88043-w...are-alert.html) und habe Malwarebytes und OTL nach der Beschreibung in diesem Beitrag laufen lassen.
Malwarebytes hat 6 Objekte gefunden und erfolgreich gelöscht.

Nachdem Malwarebytes gelaufen ist und die Dateien gelöscht hat, habe ich den Rechner neu gestartet (im normalen Modus) und dann kam die Windows Alert Meldung nicht mehr und ich kann auch die Programme wieder starten.

Da ich mir aber nicht 100% sicher bin, ob meine Log-Dateien den anderen gleichen und bevor ich irgendwas falsch mache, frage ich euch lieber was ich jetzt tun soll. ;-)

Die einzelnen Logs (mbam-Logfile, otl.txt und Extras.txt) habe ich hoch geladen.

Was genau muss ich jetzt als nächstes tun?

Schon mal vielen Dank für eure Hilfe und einen schönen Abend noch,
Katrin

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo,

habe jetzt den Fullscan durchgeführt - es wurden noch mal 4 Funde gefunden.
Allerdings ist mir die Aktualiesierung von Malware vorher abgebrochen.
Ich hoffe, dass ihr mit den Logs jetzt schon was anfangen könnt.
Ich starte noch mal im abgesicherten Modus und lasse den Scan einfach noch mal laufen.

Bis dahin schon mal danke und viele Grüße
Katrin

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6092

O32 - AutoRun File - [2004.01.29 15:54:59 | 000,000,000 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2004.01.20 15:50:52 | 000,020,480 | ---- | M] (TARGA GmbH) - F:\AUTORUN.EXE -- [ FAT32 ]

O32 - AutoRun File - [2004.01.15 10:25:14 | 000,000,053 | ---- | M] () - F:\AUTORUN.INF -- [ FAT32 ]

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\AUTORUN.EXE -- [2004.01.20 15:50:52 | 000,020,480 | ---- | M] (TARGA GmbH)

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

danke für die Antwort.
Kann ich das im normalen Modus machen?
Momentan läuft Malwarebytes noch, hat aber bisher keine infizierten Objekte gefunden. Kann ich das auch abbrechen oder soll ich das lieber laufen lassen?

Warte ab bis es durch ist. Ich war da schon etwas vorschnell. Poste das Log und wenn ich ok sage kannst Du das mit OTL machen.

Alles klar, mach ich. :)

So, Malware ist jetzt fertig.
Hat nichts gefunden. Hier der Log.
Soll ich OTL auch noch mal laufen lassen?

Ist ok, mach das mit OTL :)

Ist das normal dass das Runterfahren von Windows nach dem Klick auf OK länger dauert?
Der Rechner steht jetzt schon seit ca. 5 Minuten wenn nicht sogar noch länger auf "Windwos wird heruntergefahren...."

Der Rechner fährt immernoch runter...?
Soll ich den einfach mal über Nacht anlassen?

Der Fix mit OTL war eigentlich durchgelaufen, dann kam die Meldung dass mit OK der Rechner neugestartet wird... und dann bleibt´s beim Herunterfahren hängen... :-(

Ich war jetzt mal ganz radikal und habe (nachdem der Rechner nach einer halben Stunde immernoch nicht neugestartet wurde) das Knöpfchen gedrückt und den PC manuell aus- und angeschaltet.

Windows scheint normal gestartet zu sein - zumindest kam keine Fehlermeldung oder Hinweismeldung und der log aus dem OTL-Fix wurde angezeigt:

All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
E:\AUTOEXEC.BAT moved successfully.
F:\AUTORUN.EXE moved successfully.
F:\AUTORUN.INF moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ deleted successfully.
File F:\AUTORUN.EXE not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 3358522 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Mein Computer
->Temp folder emptied: 50774963 bytes
->Temporary Internet Files folder emptied: 572360822 bytes
->FireFox cache emptied: 39493052 bytes
->Flash cache emptied: 47075 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2148906 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2722246 bytes
RecycleBin emptied: 15628984 bytes

Total Files Cleaned = 655,00 mb

OTL by OldTimer - Version 3.2.12.0 log created on 09142010_230814

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Was muss ich jetzt noch tun?
Danke und gute Nacht,
Katrin

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Beim Abbarbeiten des CCleaner Programms kommt jetzt bei den Registryeinträge angehängte Meldungen. Kann ich die auch einfach löschen/beheben?
Ausserdem fragt er vorher, ob ich die Änderungen in der Registry speichern möchte. Soll ich das tun?

Ja bitte alles löschen und ein backup vorher der Registry machen. also das was CCleaner vorschlägt!

Folgender Registry-Eintrag kann nicht gelöscht werden:

{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Fehler: Ungenutzte Datei-Endungen.

Der kommt immer wieder, egal wie oft ich den Fehler behebe.

Habe im Internet noch einen Hinweis gefunden, dass dieser Schlüssel nicht weiter schlimm ist, wenn er nicht gelöscht werden kann.
Also habe ich Combofix laufen lassen :

Combofix Logfile:

Code:

ComboFix 10-09-14.05 - Mein Computer 15.09.2010  20:26:37.2.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.383.129 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Mein Computer\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-08-15 bis 2010-09-15  ))))))))))))))))))))))))))))))

.
 

2010-09-15 16:26 . 2010-09-15 16:26        --------        d-----w-        c:\programme\CCleaner

2010-09-14 21:08 . 2010-09-14 21:08        --------        d-----w-        C:\_OTL

2010-09-13 17:42 . 2010-09-13 17:42        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla

2010-09-13 17:10 . 2010-09-13 17:10        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Ahead

2010-09-13 17:10 . 2010-09-14 20:54        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2010-09-12 10:57 . 2010-09-12 10:57        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Anwendungsdaten\Malwarebytes

2010-09-12 10:57 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-12 10:56 . 2010-09-12 10:57        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-09-12 10:56 . 2010-09-12 10:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-09-12 10:56 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-09-11 23:08 . 2010-09-13 18:21        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Lokale Einstellungen\Anwendungsdaten\qohtbrdfm

2010-09-11 23:08 . 2010-09-13 18:21        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Lokale Einstellungen\Anwendungsdaten\gbpubxomt

2010-08-17 13:17 . 2010-08-17 13:17        58880        -c----w-        c:\windows\system32\dllcache\spoolsv.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-13 17:06 . 2010-09-13 17:06        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2010-09-11 06:21 . 2009-12-27 10:44        --------        d-----w-        c:\programme\KVB-Erstattungsantrag PC

2010-09-06 19:30 . 2009-12-09 18:28        --------        d-----w-        c:\programme\Lexmark 1200 Series

2010-08-17 13:17 . 2006-02-28 12:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe

2010-07-28 10:00 . 2009-12-07 12:46        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Anwendungsdaten\Ahead

2010-07-28 10:00 . 2010-07-28 10:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe

2010-07-22 15:48 . 2006-02-28 12:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 06:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll

2010-06-30 12:28 . 2006-02-28 12:00        149504        ----a-w-        c:\windows\system32\schannel.dll

2010-06-24 12:22 . 2006-02-28 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2006-02-28 12:00        1852032        ----a-w-        c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2006-02-28 12:00        354304        ----a-w-        c:\windows\system32\drivers\srv.sys

2010-06-18 17:44 . 2006-02-28 12:00        293888        ----a-w-        c:\windows\system32\winsrv.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nwiz"="nwiz.exe" [2009-04-30 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 1629480]

"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 1057064]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 16384000]

"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]

"Control Center"="c:\programme\ASUS\WLAN Card Utilities\Center.exe" [2005-02-03 1585664]

"Lexmark 1200 Series"="c:\programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 57344]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.12.2009 14:54 108289]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\e:\everest ultimate engineer edition v.4.00.1059 beta\kerneld.wnt --> e:\everest ultimate engineer edition v.4.00.1059 beta\kerneld.wnt [?]

S3 W8100XP;Marvell Libertas 802.11b/g SoftAP Driver for Windows XP ;c:\windows\system32\drivers\mrv8ka51.sys [07.12.2009 15:14 258560]
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-08-23 16:34        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners
 

2010-09-15 c:\windows\Tasks\User_Feed_Synchronization-{EB539243-3C83-4E20-B205-9AE767393008}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyServer = http=127.0.0.1:6092

uInternet Settings,ProxyOverride = <local>

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Mein Computer\Anwendungsdaten\Mozilla\Firefox\Profiles\wzcqaz9d.default\

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-09-15 20:30

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\e:\everest ultimate engineer edition v.4.00.1059 beta\kerneld.wnt"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(1764)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2010-09-15  20:31:50

ComboFix-quarantined-files.txt  2010-09-15 18:31
 

Vor Suchlauf: 8 Verzeichnis(se), 311.830.339.584 Bytes frei

Nach Suchlauf: 9 Verzeichnis(se), 311.788.453.888 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 66EE177FC83C23A74C6E36DAEFB3A229

--- --- ---

Zitat:

Zitat von Katti169 (Beitrag 568594)

Folgender Registry-Eintrag kann nicht gelöscht werden:

{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Fehler: Ungenutzte Datei-Endungen.

Der kommt immer wieder, egal wie oft ich den Fehler behebe.

Warum steht doch in der Anleitung vom CCleaner!! Lesen!

Zitat:

Sollte auf dem PC Avira's AntiVir installiert sein so kann der CCleaner folgenden Eintrag nicht löschen:
Zitat:
Die Dateiendung {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} verweist auf eine ungültige Programmerkennung. Diese Verweise bleiben oft nach Deinstallationen übrig.

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Ja du hast Recht, sorry. Ich hätte besser lesen sollen.
Ich dachte ich hatte den Schlüssel schon....

hier der Log von GMER:

GMER Logfile:

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-09-15 21:49:01

Windows 5.1.2600 Service Pack 3

Running: 6ddj5fkv.exe; Driver: C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\kgpyakod.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7ADA706                                            ZwCreateKey

SSDT            F7ADA6FC                                            ZwCreateThread

SSDT            F7ADA70B                                            ZwDeleteKey

SSDT            F7ADA715                                            ZwDeleteValueKey

SSDT            F7ADA71A                                            ZwLoadKey

SSDT            F7ADA6E8                                            ZwOpenProcess

SSDT            F7ADA6ED                                            ZwOpenThread

SSDT            F7ADA724                                            ZwReplaceKey

SSDT            F7ADA71F                                            ZwRestoreKey

SSDT            F7ADA710                                            ZwSetValueKey

SSDT            F7ADA6F7                                            ZwTerminateProcess
 

Code            \??\C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\catchme.sys  pIofCallDriver
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwCallbackReturn + 2DCC                80504668 4 Bytes  CALL 8747F413 

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys            section is writeable [0xF67FF360, 0x3CEED5, 0xE8000020]

?               C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !

?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS          Das System kann die angegebene Datei nicht finden. !

?               C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\mbr.sys          Das System kann die angegebene Datei nicht finden. !
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Und hier von OSAM
OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 22:11:32 on 15.09.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"ClientCpl.cpl" - ? - C:\WINDOWS\system32\ClientCpl.cpl  (File found, but it contains no detailed information)

"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl

"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ASNDIS5 Protocol Driver" (ASNDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\system32\ASNDIS5.SYS

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"catchme" (catchme) - ? - C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDFs.sys

"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDRm.sys

"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDPass.sys

"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys

"Lavalys EVEREST Kernel Driver" (EverestDriver) - ? - E:\Everest Ultimate Engineer Edition v.4.00.1059 beta\kerneld.wnt  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"Si3132r5" (Si3132r5) - "Silicon Image, Inc" - C:\WINDOWS\system32\drivers\Si3132r5.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{CAE3251E-9B15-4810-B268-852AD9792A59} "InCDShellExt Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDshx.dll

{B3D9AEDE-B2C3-406d-A254-6BE07767B08B} "InCDUdfPerm Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDUP.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll

{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll

{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{0D41B8C5-2599-4893-8183-00195EC8D5F9} "asusTek_sysctrl Class" - ? - C:\WINDOWS\DOWNLO~1\ASUSTE~1.DLL / hxxp://support.asus.com/common/asusTek_sys_ctrl.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Mein Computer\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

"LightScribe Control Panel" - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"Control Center" - "ASUSTeK COMPUTER INC." - C:\Programme\ASUS\WLAN Card Utilities\Center.exe

"InCD" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCD.exe

"Lexmark 1200 Series" - "Lexmark International, Inc." - "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"

"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

"nwiz" - "NVIDIA Corporation" - nwiz.exe /install

"SecurDisc" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASWLSVC" (ASWLSVC) - ? - C:\WINDOWS\system32\ASWLSVC.exe  (File found, but it contains no detailed information)

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe

"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Der Remover ließ sich leider nicht starten.
Den musste ich über die Console aufrufen, hier war der MBR-Status dann unknown.
Dann habe ich - natürlich auf eigene Gefahr ;-) - den Befehl "bootkit_remover.exe fix \\.\PhysicalDrive1" ausgeführt (ein Freund aus der Informatik hat mir hierbei geholfen) und jetzt ist der Status "OK(DOS/Win32 Boot code found"

Habe die beiden Screenshots mal hochgeladen.

Was muss ich jetzt noch tun?

Danke für eure Hilfe!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Arne,

hier schon mal der Log vom Malware:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4629

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.09.2010 19:14:36
mbam-log-2010-09-16 (19-14-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 327562
Laufzeit: 1 Stunde(n), 20 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Der andere Log folgt....

Und hier der log von AntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/16/2010 at 10:12 PM

Application Version : 4.43.1000

Core Rules Database Version : 5506
Trace Rules Database Version: 3318

Scan type : Complete Scan
Total Scan Time : 02:08:51

Memory items scanned : 480
Memory threats detected : 0
Registry items scanned : 5809
Registry threats detected : 0
File items scanned : 186694
File threats detected : 18

Adware.Tracking Cookie
www.elitepartner.de [ E:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\G4N4ZZRN ]
pornme.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
pornoprinzen.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
sex.sex-ag.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
www.pornoprinzen.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
www.shareadult.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
atdmt.com [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
googleads.g.doubleclick.net [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
m.de.2mdn.net [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
media.sparkart.net [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
oddcast.com [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]

Trojan.Agent/Gen-Koobface[Bonkers]
E:\PROGRAMME\DBV-WINTERTHUR\WINAS32\DOCGEN.EXE

Trojan.Agent/Gen-Krpytik
E:\PROGRAMME\TUWINBAU\BSHTOP.DLL
E:\PROGRAMME\TUWINBAU\CHECKBFSRUNNING.EXE
E:\PROGRAMME\TUWINBAU\HELPSYS.DLL
E:\PROGRAMME\TUWINBAU\JPEGLIB.DLL
E:\PROGRAMME\TUWINBAU\METAVIEW.DLL
E:\PROGRAMME\TUWINBAU\PDFLIB.DLL

Zitat:

Trojan.Agent/Gen-Koobface[Bonkers]
E:\PROGRAMME\DBV-WINTERTHUR\WINAS32\DOCGEN.EXE

Trojan.Agent/Gen-Krpytik
E:\PROGRAMME\TUWINBAU\BSHTOP.DLL
E:\PROGRAMME\TUWINBAU\CHECKBFSRUNNING.EXE
E:\PROGRAMME\TUWINBAU\HELPSYS.DLL
E:\PROGRAMME\TUWINBAU\JPEGLIB.DLL
E:\PROGRAMME\TUWINBAU\METAVIEW.DLL
E:\PROGRAMME\TUWINBAU\PDFLIB.DLL

Sieht soweit ok aus. Kennst Du diese Objekte?
DBV hört sich nach Versicherung an. TUWINBAU kenn ich nicht.

Ja die kenne ich sind beides Versicherungsprogramme, werden aber nicht mehr gebraucht. Und wenn können wir sie neu installieren.

Ist mein PC jetzt wieder Viren-Trojanerfrei?

Dann die Dateien bitte nicht löschen. Das sind Fehlalarme.

Wir sind auch durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Wow super!!! :Boogie:
Vielen lieben Dank für deine Hilfe - ohne dich hätte ich es nciht hinbekommen!!!! :bussi:

Ihr seit echt ein tolles Forum und wenn demnächst noch mal Probele haben sollte wende ich mich wieder an euch.

Liebe Grüße und noch mal danke, danke, danke,
Katrin