|
RKIT/Agent.biiu - Noch ein betroffener Hi zusammen, ich habe vorab natürlich die entsprechenden ähnlichen Topics hier im Board gelesen, da ich aber noch nie von einem offenbar so penetrantem Virus befallen war (bzw. mein Notebook) und ich technisch zudem überhaupt nicht bewandert bin, mache ich ein neues Topic auf. Folgendes Problem: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 14. September 2010 20:23 Es wird nach 2843681 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : xy Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : XY-PC Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 22:06:33 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 22:06:33 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 22:06:33 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 23:03:51 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:46:18 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:05:40 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:01:54 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:58:20 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:47:47 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 14:59:38 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 14:59:38 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 14:59:38 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 14:59:38 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 14:59:38 VBASE013.VDF : 7.10.11.138 2048 Bytes 13.09.2010 14:59:38 VBASE014.VDF : 7.10.11.139 2048 Bytes 13.09.2010 14:59:39 VBASE015.VDF : 7.10.11.140 2048 Bytes 13.09.2010 14:59:39 VBASE016.VDF : 7.10.11.141 2048 Bytes 13.09.2010 14:59:39 VBASE017.VDF : 7.10.11.142 2048 Bytes 13.09.2010 14:59:39 VBASE018.VDF : 7.10.11.143 2048 Bytes 13.09.2010 14:59:39 VBASE019.VDF : 7.10.11.144 2048 Bytes 13.09.2010 14:59:39 VBASE020.VDF : 7.10.11.145 2048 Bytes 13.09.2010 14:59:39 VBASE021.VDF : 7.10.11.146 2048 Bytes 13.09.2010 14:59:40 VBASE022.VDF : 7.10.11.147 2048 Bytes 13.09.2010 14:59:40 VBASE023.VDF : 7.10.11.148 2048 Bytes 13.09.2010 14:59:40 VBASE024.VDF : 7.10.11.149 2048 Bytes 13.09.2010 14:59:40 VBASE025.VDF : 7.10.11.150 2048 Bytes 13.09.2010 14:59:40 VBASE026.VDF : 7.10.11.151 2048 Bytes 13.09.2010 14:59:40 VBASE027.VDF : 7.10.11.152 2048 Bytes 13.09.2010 14:59:40 VBASE028.VDF : 7.10.11.153 2048 Bytes 13.09.2010 14:59:40 VBASE029.VDF : 7.10.11.154 2048 Bytes 13.09.2010 14:59:40 VBASE030.VDF : 7.10.11.155 2048 Bytes 13.09.2010 14:59:40 VBASE031.VDF : 7.10.11.162 149504 Bytes 14.09.2010 14:59:44 Engineversion : 8.2.4.52 AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 18:54:48 AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 27.08.2010 16:52:54 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 20:27:03 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 22:11:03 AERDL.DLL : 8.1.8.2 614772 Bytes 22.07.2010 15:57:08 AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 13:08:48 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 15:56:55 AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03.09.2010 21:59:18 AEHELP.DLL : 8.1.13.3 242038 Bytes 27.08.2010 16:52:47 AEGEN.DLL : 8.1.3.21 401780 Bytes 14.09.2010 14:59:47 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 22:11:00 AECORE.DLL : 8.1.16.2 192887 Bytes 22.07.2010 15:56:21 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 22:11:00 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 20:15:45 AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 13:54:04 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 22.06.2009 17:35:51 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 22.06.2009 17:35:51 RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 22:06:32 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Dienstag, 14. September 2010 20:23 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\errorcontrol [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\group [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '103639' Objekte überprüft, '4' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NPSAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qtwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FsUsbExService.Exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '77' Prozesse mit '77' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '46' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Windows\System32\drivers\ibwkdj.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\Windows\System32\drivers\ibwkdj.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library [WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden.Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht. Ende des Suchlaufs: Dienstag, 14. September 2010 21:41 Benötigte Zeit: 59:36 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 21079 Verzeichnisse wurden überprüft 422840 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 422836 Dateien ohne Befall 3288 Archive wurden durchsucht 3 Warnungen 3 Hinweise 103639 Objekte wurden beim Rootkitscan durchsucht 4 Versteckte Objekte wurden gefunden Ich habe mal den kompletten Bericht gepostet, ich hoffe das ist ok, wenn nicht würde ich die Admins bitten das zu ändern. Eine vollkommene Neuinstallation des gesamten Windows Vista Systems wäre ein ziemliches Desaster, d.h. aufwendig. Wie genau muss ich nun vorgehen, um Virusfrei zu werden, bitte so erklärt, dass es nachvollziehen kann, trotz mangelhafter Technikentnisse. Soweit läuft mein Rechner derzeit aber störungsfrei. Herzlichen Dank. Hi, ich bitte um Hilfe :-(! Soll ich auch wie hier : http://www.trojaner-board.de/90700-u...nt-biiu-2.html beschrieben dieses "ComboFix" anwenden? Danke! Hi, bitte helft mir doch mal, ich will sichergehen, dass ich alles richtig mache und deswegen nicht einfach das nachmachen was in anderen topics steht. mittlerweile ist mein system auch langsamer geworden, der prozess "svchost.exe" lastet das system aus. |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Vielen Dank für die Antwort cosinus, hier schon mal der malwarbytes log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4622 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0. 15.09.2010 22:38:32 mbam-log-2010-09-15 (22-38-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 246820 Laufzeit: 1 Stunde(n), 14 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: C:\Windows\System32\qtwm.exe (Trojan.Downloader) -> No action taken. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\registrywm (Trojan.Downloader) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\registrymonitor1 (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\registrymonitor2 (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\System32\qtwm.exe (Trojan.Downloader) -> No action taken. C:\Program Files\Mozilla Firefox\winupd1.exe (Trojan.Downloader) -> No action taken. C:\Users\Schneider\AppData\Local\Temp\~TMAC58.tmp (Trojan.Hiloti) -> No action taken. C:\Users\Schneider\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monmvr32.exe (Trojan.Downloader) -> No action taken. C:\Windows\System32\drivers\ibwkdj.sys (Rootkit.Bubnix) -> No action taken. C:\Users\Schneider\AppData\Roaming\apiqfw.dat (Malware.Trace) -> No action taken. C:\Users\Schneider\AppData\Roaming\avdrn.dat (Malware.Trace) -> No action taken. |
Hast Du alle Funde entfernt? |
Hi cosinus, ja ich habe alle Funde mit malwarebytes entfernt, bei einem der Objekte hat die Entfernung leider nicht geklappt. Welches genau liefere ich in einigen Minute nach, im Moment lasse ich den Malwarebytes-Scan nochmal durchlaufen. Hier noch die beiden Log-Dateien OTL by OldTimer - Version 3.2.12.1 Folder = C:\Users\xy\Desktop Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18943) Locale: | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | x% Memory free 6,00 Gb Paging File | 5,00 Gb Available in Paging File | x% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 144,09 Gb Total Space | 92,56 Gb Free Space | x% Space Free | Partition Type: NTFS Drive D: | 144,00 Gb Total Space | 143,91 Gb Free Space | x% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: x-PC Current User Name: x Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation) inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 "VistaSp1" = Reg Error: Unknown registry data type -- File not found [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-891691069-936035217-1371757700-1003] "EnableNotifications" = 1 "EnableNotificationsRef" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 ========== Authorized Applications List ========== ========== Vista Active Open Ports Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{13F24517-A679-480A-8281-4B94C8CFCC92}" = rport=139 | protocol=6 | dir=out | app=system | "{14315AEE-9EDC-4179-AE23-992AEE7822A6}" = lport=139 | protocol=6 | dir=in | app=system | "{306F8DD5-045C-4967-8594-A703435FA82E}" = rport=138 | protocol=17 | dir=out | app=system | "{44A5D88A-21D7-4363-8AD4-FBDAE64E6ED0}" = lport=445 | protocol=6 | dir=in | app=system | "{45472588-FAC0-47CB-AFD9-63D6BB69FAFD}" = lport=137 | protocol=17 | dir=in | app=system | "{4BF367EB-4124-465C-8DB0-7DE190A817D8}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | "{68EDB7CD-9198-4827-82CC-43C13D1607AB}" = lport=138 | protocol=17 | dir=in | app=system | "{6A8B7A2D-E86A-42D0-BC03-38480890C14F}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe | "{CD97FB65-BE4A-4E4F-8670-A5511B9A207D}" = rport=137 | protocol=17 | dir=out | app=system | "{DF35A2C2-F78B-4BD9-B318-DD07F89D9ADB}" = rport=445 | protocol=6 | dir=out | app=system | "{EAA3D75C-C09B-4919-B619-49A17907D068}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{105FFEB6-74D9-4253-A6E8-EC096D00EE03}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | "{3F8B87A8-397A-4389-9611-9B9611AC7BB6}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "{5E163527-D76A-4529-BC27-9474CF23F98D}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | "{765B96B4-C9AA-425E-BFEC-F08F2B926162}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe | "{970D1EDF-1AF1-4447-B9F7-0BB2EE125E48}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe | "{B27DEA49-F22A-42E3-9FC3-B8D19CDC2B50}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "{D65F3C4F-1338-412C-ADDB-DE93647E56B7}" = protocol=6 | dir=in | app=c:\program files\itunes\itunes.exe | "{D9B572E9-452B-4917-B48D-8652376E6B01}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | "{E410B6BC-80AD-4641-A018-E4A3BCDD963B}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe | "{F04FB8FC-F1BD-4B04-8917-99E54A2B47BC}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | "{F0F30878-59AC-4E2A-B6CD-D9403E5C6D7D}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe | "{F750D63F-2A79-481E-B319-5D1EF1E78329}" = protocol=17 | dir=in | app=c:\program files\itunes\itunes.exe | ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}" = imagine digital freedom - Samsung "{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ) "{03D1988F-469F-4843-8E6E-E5FE9D17889D}" = WIDCOMM Bluetooth Software 6.0.1.6300 "{04983D37-2202-4295-94A2-8B547C66133F}" = Atheros WLAN Client "{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour "{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III "{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 15 "{308BD058-411C-4AF2-8BF6-A6C7CFD0270D}" = Easy Network Manager 4.0 "{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor "{36BEAD11-8577-49AD-9250-E06A50AE87B0}" = Microsoft SOAP Toolkit 2.0 SP2 "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007 SP2 "{50120000-1105-0000-0000-0000000FF1CE}" = Microsoft Office 2007 Primary Interop Assemblies "{5D601655-6D54-4384-B52C-17EC5385FBBD}" = iTunes "{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites "{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Easy Battery Manager "{71A51B09-E7D3-11DB-A386-005056C00008}" = Vimicro UVC Camera "{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762 "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver "{7FB12670-0F93-4E1E-B2F5-4F339199A03A}" = Microsoft SQL Server Native Client "{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera "{8355F970-601D-442D-A79B-1D7DB4F24CAD}" = Apple Mobile Device Support "{849A32C3-E75A-4791-9B11-E568BA3525A4}" = Microsoft SQL Server VSS Writer "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2) "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager "{90A40407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Web Components "{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007 "{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581) "{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{BA5F3E0E-8F3E-47BD-88E4-AD3EB5225F51}" = Intel(R) PROSet/Wireless WiFi-Software "{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide "{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio "3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0) "Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Agere Systems Soft Modem" = Agere Systems HDA Modem "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Business Contact Manager" = Business Contact Manager für Outlook 2007 SP2 "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "FreePDF_XP" = FreePDF (Remove only) "GPL Ghostscript 8.70" = GPL Ghostscript 8.70 "GSview 4.9" = GSview 4.9 "InstallShield_{308BD058-411C-4AF2-8BF6-A6C7CFD0270D}" = Easy Network Manager 4.0 "InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus "InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer "InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 "Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11) "NVIDIA Drivers" = NVIDIA Drivers "PROHYBRIDR" = 2007 Microsoft Office system "ProInst" = Intel PROSet Wireless "Redirection Port Monitor" = RedMon - Redirection Port Monitor "SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software "SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set "Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software "Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software "SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software "SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software "SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software "ShockwaveFlash" = Adobe Flash Player 9 ActiveX "SynTPDeinstKey" = Synaptics Pointing Device Driver "VLC media player" = VLC media player 1.0.3 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "pdfsam" = pdfsam ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 07.09.2010 08:31:00 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 07.09.2010 08:31:48 | Computer Name = x-PC | Source = WinMgmt | ID = 10 Description = Error - 07.09.2010 14:13:42 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 07.09.2010 14:13:42 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 07.09.2010 14:14:20 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 07.09.2010 14:14:37 | Computer Name = x-PC | Source = WinMgmt | ID = 10 Description = Error - 08.09.2010 04:44:29 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 08.09.2010 04:44:29 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 08.09.2010 04:45:27 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 08.09.2010 04:45:32 | Computer Name = x-PC | Source = WinMgmt | ID = 10 Description = [ Media Center Events ] Error - 14.01.2010 14:35:57 | Computer Name = x-PC | Source = Media Center Guide | ID = 0 Description = Ereignisinformationen: ERROR: SqmApiWrapper.SqmFlushSession failed; Win32 GetLastError returned 0D Prozess: DefaultDomain Objektname: Media Center Guide [ System Events ] Error - 16.09.2010 01:16:17 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001 Description = Error - 16.09.2010 01:47:18 | Computer Name = x-PC | Source = HTTP | ID = 15016 Description = Error - 16.09.2010 01:48:04 | Computer Name = x-PC | Source = Service Control Manager | ID = 7000 Description = Error - 16.09.2010 01:48:39 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001 Description = Error - 16.09.2010 11:53:16 | Computer Name = x-PC | Source = HTTP | ID = 15016 Description = Error - 16.09.2010 11:54:01 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001 Description = Error - 16.09.2010 11:54:09 | Computer Name = x-PC | Source = Service Control Manager | ID = 7000 Description = Error - 16.09.2010 13:37:44 | Computer Name = x-PC | Source = HTTP | ID = 15016 Description = Error - 16.09.2010 13:38:27 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001 Description = Error - 16.09.2010 13:39:16 | Computer Name = x-PC | Source = Service Control Manager | ID = 7000 Description = < End of report > OTL Logfile: Code: OTL logfile created on: 16.09.2010 20:32:15 - Run 1 |
Hi, von malwarebytes nicht gelöscht werden konnte: C:\Windows\System32\drivers\ibwkdj.sys (Rootkit.Bubnix) LG+Danke. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hi cosinus, herzlichen Dank für das Posten des individuellen Fix-Textes. Blöderweise habe ich zunächst das Abändern des Benutzernamens überlesen, d.h. ich habe mit "x" gesucht. Beim ersten Suchlauf wurden dementsprechend nur die Files bearbeitet, deren Adresse den Benutzernamen nicht beinhaltet haben. Die Log Datei dieses Durchlaufs finde ich leider nicht mehr. Danach habe ich noch mal den Fix-Text durchlaufen lassen, diesmal mit dem richtigen Benutzernamen. Daraufhin erhielt ich folgende log-Datei, ich vermute, die Files, die schon beim ersten Durchlauf gelöscht wurden erkennt man daran, dass sie im zweiten Durchlauf "not found" wurden. LG All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\rekevate:C:\Windows\system32\certdl32.dll deleted successfully. C:\Users\Schneider\AppData\Local\{688D31B5-03B3-40E2-8C10-53F5612F187B}\chrome\content folder moved successfully. C:\Users\Schneider\AppData\Local\{688D31B5-03B3-40E2-8C10-53F5612F187B}\chrome folder moved successfully. C:\Users\Schneider\AppData\Local\{688D31B5-03B3-40E2-8C10-53F5612F187B} folder moved successfully. File C:\Windows\System32\drivers\ibwkdj.sys not found. C:\Users\Schneider\AppData\Local\Spimasajubijameh.dat moved successfully. C:\Users\Schneider\AppData\Local\Ndacofuq.bin moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: Schneider ->Temp folder emptied: 204875 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 16204791 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 29842 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 16,00 mb OTL by OldTimer - Version 3.2.12.1 log created on 09172010_072615 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi, ich bin so vorgegangen wie angegeben, leider hat sich nach Anwendung des Programm kein log file automatisch geöffnet. Auch wenn ich nach der Datei combofix.txt suche finde ich nix! Hast du eine Idee was ich falsch gemacht habe? LG |
Hast Du einen Ordner Qoobox direkt auf c:\ ? |
Sorry, ich habs nochmal gemacht und diesmal richtig. Hier der bedrohlich lange log file: ComboFix 10-09-16.07 - Schneider 17.09.2010 23:34:53.1.2 - x86 Microsoft® Windows Vista™ Home Premium [GMT 2:00] ausgeführt von:: c:\users\Schneider\Desktop\cofi.exe SP: Windows Defender *enabled* (Updated) . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\SEC c:\windows\SEC\172100logo.bmp c:\windows\SEC\banner.png c:\windows\SEC\Computer.png c:\windows\SEC\Media _S_ Logo.png c:\windows\SEC\Samsung.png c:\windows\SEC\Samsung2.png c:\windows\SEC\SamsungLogo.png c:\windows\SEC\Wallpapers\wallpaper.jpg c:\windows\SEC\Wallpapers\wallpaper1.jpg c:\windows\SEC\Wallpapers\Wallpaper2.jpg c:\windows\system32\Drivers\jhhfgnc.sys . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_pbkhpdqx ((((((((((((((((((((((( Dateien erstellt von 2010-08-17 bis 2010-09-17 )))))))))))))))))))))))))))))) . 2010-09-17 05:14 . 2010-09-17 05:14 -------- d-----w- C:\_OTL 2010-09-16 05:29 . 2010-09-16 05:48 -------- d-----w- c:\windows\system32\MpEngineStore 2010-09-15 18:54 . 2010-09-15 18:54 -------- d-----w- c:\users\Schneider\AppData\Roaming\Malwarebytes 2010-09-15 18:54 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-15 18:54 . 2010-09-15 18:54 -------- d-----w- c:\programdata\Malwarebytes 2010-09-15 18:54 . 2010-09-15 20:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-09-15 18:54 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-15 05:15 . 2010-04-05 16:08 317952 ----a-w- c:\windows\system32\MP4SDECD.DLL 2010-09-15 05:15 . 2010-08-17 13:32 126464 ----a-w- c:\windows\system32\spoolsv.exe 2010-09-15 05:15 . 2010-04-16 16:10 501760 ----a-w- c:\windows\system32\usp10.dll 2010-09-15 05:15 . 2010-05-27 19:16 738816 ----a-w- c:\windows\system32\inetcomm.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-17 21:44 . 2009-03-20 09:53 90967 ----a-w- c:\programdata\nvModes.dat 2010-09-17 21:42 . 2008-09-12 19:41 12 ----a-w- c:\windows\bthservsdp.dat 2010-09-16 05:31 . 2008-09-12 04:11 -------- d-----w- c:\programdata\Microsoft Help 2010-09-13 20:12 . 2009-08-10 08:25 1 ----a-w- c:\users\Schneider\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-09-11 07:28 . 2008-09-11 15:12 678910 ----a-w- c:\windows\system32\perfh007.dat 2010-09-11 07:28 . 2008-09-11 15:12 147378 ----a-w- c:\windows\system32\perfc007.dat 2010-06-26 06:05 . 2010-08-10 21:10 916480 ----a-w- c:\windows\system32\wininet.dll 2010-06-26 06:02 . 2010-08-10 21:10 71680 ----a-w- c:\windows\system32\iesetup.dll 2010-06-26 06:02 . 2010-08-10 21:10 109056 ----a-w- c:\windows\system32\iesysprep.dll 2010-06-26 04:25 . 2010-08-10 21:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe 2010-06-21 13:18 . 2010-08-10 21:10 2036736 ----a-w- c:\windows\system32\win32k.sys 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920] "WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 2153472] "AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 102400] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-26 13548064] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-26 92704] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136] "FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2009-08-06 381440] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] c:\users\Schneider\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "mixer4"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-891691069-936035217-1371757700-1003] "EnableNotifications"=dword:00000001 "EnableNotificationsRef"=dword:00000001 R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112] R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976] R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856] S0 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2008-05-08 226328] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-06-22 108289] S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472] S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2008-09-12 13312] S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608] S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-08-05 44576] S3 VMC302;Vimicro Camera Service VMC302;c:\windows\system32\Drivers\VMC302.sys [2008-06-05 242048] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - FSUSBEXDISK *Deregistered* - ibwkdj [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ . Inhalt des "geplante Tasks" Ordners 2010-09-17 c:\windows\Tasks\User_Feed_Synchronization-{993D2734-935D-43BF-BCD8-D24F9C1D79FD}.job - c:\windows\system32\msfeedssync.exe [2010-08-10 04:24] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp:\\www.samsungcomputer.com uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Schneider\AppData\Roaming\Mozilla\Firefox\Profiles\ymbotm1u.default\ FF - prefs.js: browser.startup.homepage - finance.yahoo.com FF - plugin: c:\users\Schneider\AppData\Roaming\Mozilla\Firefox\Profiles\ymbotm1u.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a} - (no file) HKLM-Run-NPSStartup - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-17 23:45 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ibwkdj] . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'Explorer.exe'(3652) c:\windows\system32\btmmhook.dll c:\windows\system32\btncopy.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\nvvsvc.exe c:\windows\system32\rundll32.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Intel\WiFi\bin\EvtEng.exe c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe c:\program files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe c:\windows\system32\conime.exe c:\windows\servicing\TrustedInstaller.exe c:\windows\RtHDVCpl.exe c:\windows\System32\rundll32.exe c:\program files\OpenOffice.org 3\program\soffice.exe c:\program files\OpenOffice.org 3\program\soffice.bin c:\windows\ehome\ehmsas.exe c:\program files\iPod\bin\iPodService.exe c:\program files\Windows Media Player\wmpnscfg.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\program files\Java\jre6\bin\jucheck.exe |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Hier schon mal der OSAM log: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Liste der Anhänge anzeigen (Anzahl: 1) danke für deine hilfe, ich werde irgendwie zunehmend pessimistisch :-/. Also: *Ich habe GMER zweimal versucht, beide male ists abgestürzt. Ich kanns gern auch noch öfters versuchen. *bootkit hab ich als jpg datei in den anhang getan. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board