RKIT/Agent.biiu - Noch ein betroffener
 

Hi zusammen,

ich habe vorab natürlich die entsprechenden ähnlichen Topics hier im Board gelesen, da ich aber noch nie von einem offenbar so penetrantem Virus befallen war (bzw. mein Notebook) und ich technisch zudem überhaupt nicht bewandert bin, mache ich ein neues Topic auf.

Folgendes Problem:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 14. September 2010 20:23

Es wird nach 2843681 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : xy
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XY-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 22:06:33
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 22:06:33
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 22:06:33
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 23:03:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:46:18
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:05:40
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:01:54
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:58:20
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:47:47
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 14:59:38
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 14:59:38
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 14:59:38
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 14:59:38
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 14:59:38
VBASE013.VDF : 7.10.11.138 2048 Bytes 13.09.2010 14:59:38
VBASE014.VDF : 7.10.11.139 2048 Bytes 13.09.2010 14:59:39
VBASE015.VDF : 7.10.11.140 2048 Bytes 13.09.2010 14:59:39
VBASE016.VDF : 7.10.11.141 2048 Bytes 13.09.2010 14:59:39
VBASE017.VDF : 7.10.11.142 2048 Bytes 13.09.2010 14:59:39
VBASE018.VDF : 7.10.11.143 2048 Bytes 13.09.2010 14:59:39
VBASE019.VDF : 7.10.11.144 2048 Bytes 13.09.2010 14:59:39
VBASE020.VDF : 7.10.11.145 2048 Bytes 13.09.2010 14:59:39
VBASE021.VDF : 7.10.11.146 2048 Bytes 13.09.2010 14:59:40
VBASE022.VDF : 7.10.11.147 2048 Bytes 13.09.2010 14:59:40
VBASE023.VDF : 7.10.11.148 2048 Bytes 13.09.2010 14:59:40
VBASE024.VDF : 7.10.11.149 2048 Bytes 13.09.2010 14:59:40
VBASE025.VDF : 7.10.11.150 2048 Bytes 13.09.2010 14:59:40
VBASE026.VDF : 7.10.11.151 2048 Bytes 13.09.2010 14:59:40
VBASE027.VDF : 7.10.11.152 2048 Bytes 13.09.2010 14:59:40
VBASE028.VDF : 7.10.11.153 2048 Bytes 13.09.2010 14:59:40
VBASE029.VDF : 7.10.11.154 2048 Bytes 13.09.2010 14:59:40
VBASE030.VDF : 7.10.11.155 2048 Bytes 13.09.2010 14:59:40
VBASE031.VDF : 7.10.11.162 149504 Bytes 14.09.2010 14:59:44
Engineversion : 8.2.4.52
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 18:54:48
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 27.08.2010 16:52:54
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 20:27:03
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 22:11:03
AERDL.DLL : 8.1.8.2 614772 Bytes 22.07.2010 15:57:08
AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 13:08:48
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 15:56:55
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03.09.2010 21:59:18
AEHELP.DLL : 8.1.13.3 242038 Bytes 27.08.2010 16:52:47
AEGEN.DLL : 8.1.3.21 401780 Bytes 14.09.2010 14:59:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 22:11:00
AECORE.DLL : 8.1.16.2 192887 Bytes 22.07.2010 15:56:21
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 22:11:00
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 20:15:45
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 13:54:04
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 22.06.2009 17:35:51
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 22.06.2009 17:35:51
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 22:06:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 14. September 2010 20:23

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibwkdj\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '103639' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NPSAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qtwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '77' Prozesse mit '77' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '46' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\System32\drivers\ibwkdj.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Windows\System32\drivers\ibwkdj.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden.Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht.



Ende des Suchlaufs: Dienstag, 14. September 2010 21:41
Benötigte Zeit: 59:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

21079 Verzeichnisse wurden überprüft
422840 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
422836 Dateien ohne Befall
3288 Archive wurden durchsucht
3 Warnungen
3 Hinweise
103639 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden



Ich habe mal den kompletten Bericht gepostet, ich hoffe das ist ok, wenn nicht würde ich die Admins bitten das zu ändern.
Eine vollkommene Neuinstallation des gesamten Windows Vista Systems wäre ein ziemliches Desaster, d.h. aufwendig.

Wie genau muss ich nun vorgehen, um Virusfrei zu werden, bitte so erklärt, dass es nachvollziehen kann, trotz mangelhafter Technikentnisse.
Soweit läuft mein Rechner derzeit aber störungsfrei.

Herzlichen Dank.

Hi,
ich bitte um Hilfe :-(!
Soll ich auch wie hier : http://www.trojaner-board.de/90700-u...nt-biiu-2.html
beschrieben dieses "ComboFix" anwenden?
Danke!

Hi,
bitte helft mir doch mal, ich will sichergehen, dass ich alles richtig mache und deswegen nicht einfach das nachmachen was in anderen topics steht.
mittlerweile ist mein system auch langsamer geworden, der prozess "svchost.exe" lastet das system aus.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Vielen Dank für die Antwort cosinus, hier schon mal der malwarbytes log:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4622

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.

15.09.2010 22:38:32
mbam-log-2010-09-15 (22-38-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 246820
Laufzeit: 1 Stunde(n), 14 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\Windows\System32\qtwm.exe (Trojan.Downloader) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\registrywm (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\registrymonitor1 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\registrymonitor2 (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\qtwm.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\Mozilla Firefox\winupd1.exe (Trojan.Downloader) -> No action taken.
C:\Users\Schneider\AppData\Local\Temp\~TMAC58.tmp (Trojan.Hiloti) -> No action taken.
C:\Users\Schneider\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monmvr32.exe (Trojan.Downloader) -> No action taken.
C:\Windows\System32\drivers\ibwkdj.sys (Rootkit.Bubnix) -> No action taken.
C:\Users\Schneider\AppData\Roaming\apiqfw.dat (Malware.Trace) -> No action taken.
C:\Users\Schneider\AppData\Roaming\avdrn.dat (Malware.Trace) -> No action taken.

Hast Du alle Funde entfernt?

Hi cosinus,
ja ich habe alle Funde mit malwarebytes entfernt, bei einem der Objekte hat die Entfernung leider nicht geklappt. Welches genau liefere ich in einigen Minute nach, im Moment lasse ich den Malwarebytes-Scan nochmal durchlaufen.


Hier noch die beiden Log-Dateien

OTL by OldTimer - Version 3.2.12.1 Folder = C:\Users\xy\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | x% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | x% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 144,09 Gb Total Space | 92,56 Gb Free Space | x% Space Free | Partition Type: NTFS
Drive D: | 144,00 Gb Total Space | 143,91 Gb Free Space | x% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: x-PC
Current User Name: x
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-891691069-936035217-1371757700-1003]
"EnableNotifications" = 1
"EnableNotificationsRef" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{13F24517-A679-480A-8281-4B94C8CFCC92}" = rport=139 | protocol=6 | dir=out | app=system |
"{14315AEE-9EDC-4179-AE23-992AEE7822A6}" = lport=139 | protocol=6 | dir=in | app=system |
"{306F8DD5-045C-4967-8594-A703435FA82E}" = rport=138 | protocol=17 | dir=out | app=system |
"{44A5D88A-21D7-4363-8AD4-FBDAE64E6ED0}" = lport=445 | protocol=6 | dir=in | app=system |
"{45472588-FAC0-47CB-AFD9-63D6BB69FAFD}" = lport=137 | protocol=17 | dir=in | app=system |
"{4BF367EB-4124-465C-8DB0-7DE190A817D8}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{68EDB7CD-9198-4827-82CC-43C13D1607AB}" = lport=138 | protocol=17 | dir=in | app=system |
"{6A8B7A2D-E86A-42D0-BC03-38480890C14F}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe |
"{CD97FB65-BE4A-4E4F-8670-A5511B9A207D}" = rport=137 | protocol=17 | dir=out | app=system |
"{DF35A2C2-F78B-4BD9-B318-DD07F89D9ADB}" = rport=445 | protocol=6 | dir=out | app=system |
"{EAA3D75C-C09B-4919-B619-49A17907D068}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{105FFEB6-74D9-4253-A6E8-EC096D00EE03}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{3F8B87A8-397A-4389-9611-9B9611AC7BB6}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{5E163527-D76A-4529-BC27-9474CF23F98D}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{765B96B4-C9AA-425E-BFEC-F08F2B926162}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe |
"{970D1EDF-1AF1-4447-B9F7-0BB2EE125E48}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe |
"{B27DEA49-F22A-42E3-9FC3-B8D19CDC2B50}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{D65F3C4F-1338-412C-ADDB-DE93647E56B7}" = protocol=6 | dir=in | app=c:\program files\itunes\itunes.exe |
"{D9B572E9-452B-4917-B48D-8652376E6B01}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{E410B6BC-80AD-4641-A018-E4A3BCDD963B}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe |
"{F04FB8FC-F1BD-4B04-8917-99E54A2B47BC}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{F0F30878-59AC-4E2A-B6CD-D9403E5C6D7D}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe |
"{F750D63F-2A79-481E-B319-5D1EF1E78329}" = protocol=17 | dir=in | app=c:\program files\itunes\itunes.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}" = imagine digital freedom - Samsung
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{03D1988F-469F-4843-8E6E-E5FE9D17889D}" = WIDCOMM Bluetooth Software 6.0.1.6300
"{04983D37-2202-4295-94A2-8B547C66133F}" = Atheros WLAN Client
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 15
"{308BD058-411C-4AF2-8BF6-A6C7CFD0270D}" = Easy Network Manager 4.0
"{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor
"{36BEAD11-8577-49AD-9250-E06A50AE87B0}" = Microsoft SOAP Toolkit 2.0 SP2
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007 SP2
"{50120000-1105-0000-0000-0000000FF1CE}" = Microsoft Office 2007 Primary Interop Assemblies
"{5D601655-6D54-4384-B52C-17EC5385FBBD}" = iTunes
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Easy Battery Manager
"{71A51B09-E7D3-11DB-A386-005056C00008}" = Vimicro UVC Camera
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{7FB12670-0F93-4E1E-B2F5-4F339199A03A}" = Microsoft SQL Server Native Client
"{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera
"{8355F970-601D-442D-A79B-1D7DB4F24CAD}" = Apple Mobile Device Support
"{849A32C3-E75A-4791-9B11-E568BA3525A4}" = Microsoft SQL Server VSS Writer
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{90A40407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Web Components
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BA5F3E0E-8F3E-47BD-88E4-AD3EB5225F51}" = Intel(R) PROSet/Wireless WiFi-Software
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0)
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Business Contact Manager" = Business Contact Manager für Outlook 2007 SP2
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.70" = GPL Ghostscript 8.70
"GSview 4.9" = GSview 4.9
"InstallShield_{308BD058-411C-4AF2-8BF6-A6C7CFD0270D}" = Easy Network Manager 4.0
"InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11)
"NVIDIA Drivers" = NVIDIA Drivers
"PROHYBRIDR" = 2007 Microsoft Office system
"ProInst" = Intel PROSet Wireless
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.0.3

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"pdfsam" = pdfsam

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 07.09.2010 08:31:00 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =

Error - 07.09.2010 08:31:48 | Computer Name = x-PC | Source = WinMgmt | ID = 10
Description =

Error - 07.09.2010 14:13:42 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =

Error - 07.09.2010 14:13:42 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =

Error - 07.09.2010 14:14:20 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =

Error - 07.09.2010 14:14:37 | Computer Name = x-PC | Source = WinMgmt | ID = 10
Description =

Error - 08.09.2010 04:44:29 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =

Error - 08.09.2010 04:44:29 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =

Error - 08.09.2010 04:45:27 | Computer Name = x-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =

Error - 08.09.2010 04:45:32 | Computer Name = x-PC | Source = WinMgmt | ID = 10
Description =

[ Media Center Events ]
Error - 14.01.2010 14:35:57 | Computer Name = x-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.SqmFlushSession failed;
Win32 GetLastError returned 0D Prozess: DefaultDomain Objektname: Media Center Guide


[ System Events ]
Error - 16.09.2010 01:16:17 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001
Description =

Error - 16.09.2010 01:47:18 | Computer Name = x-PC | Source = HTTP | ID = 15016
Description =

Error - 16.09.2010 01:48:04 | Computer Name = x-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 16.09.2010 01:48:39 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001
Description =

Error - 16.09.2010 11:53:16 | Computer Name = x-PC | Source = HTTP | ID = 15016
Description =

Error - 16.09.2010 11:54:01 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001
Description =

Error - 16.09.2010 11:54:09 | Computer Name = x-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 16.09.2010 13:37:44 | Computer Name = x-PC | Source = HTTP | ID = 15016
Description =

Error - 16.09.2010 13:38:27 | Computer Name = x-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001
Description =

Error - 16.09.2010 13:39:16 | Computer Name = x-PC | Source = Service Control Manager | ID = 7000
Description =


< End of report >


OTL Logfile:
--- --- ---

Hi,
von malwarebytes nicht gelöscht werden konnte:

C:\Windows\System32\drivers\ibwkdj.sys (Rootkit.Bubnix)


LG+Danke.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hi cosinus,

herzlichen Dank für das Posten des individuellen Fix-Textes.
Blöderweise habe ich zunächst das Abändern des Benutzernamens überlesen, d.h. ich habe mit "x" gesucht.
Beim ersten Suchlauf wurden dementsprechend nur die Files bearbeitet, deren Adresse den Benutzernamen nicht beinhaltet haben. Die Log Datei dieses Durchlaufs finde ich leider nicht mehr.

Danach habe ich noch mal den Fix-Text durchlaufen lassen, diesmal mit dem richtigen Benutzernamen.
Daraufhin erhielt ich folgende log-Datei, ich vermute, die Files, die schon beim ersten Durchlauf gelöscht wurden erkennt man daran, dass sie im zweiten Durchlauf "not found" wurden.

LG


All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\rekevate:C:\Windows\system32\certdl32.dll deleted successfully.
C:\Users\Schneider\AppData\Local\{688D31B5-03B3-40E2-8C10-53F5612F187B}\chrome\content folder moved successfully.
C:\Users\Schneider\AppData\Local\{688D31B5-03B3-40E2-8C10-53F5612F187B}\chrome folder moved successfully.
C:\Users\Schneider\AppData\Local\{688D31B5-03B3-40E2-8C10-53F5612F187B} folder moved successfully.
File C:\Windows\System32\drivers\ibwkdj.sys not found.
C:\Users\Schneider\AppData\Local\Spimasajubijameh.dat moved successfully.
C:\Users\Schneider\AppData\Local\Ndacofuq.bin moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Schneider
->Temp folder emptied: 204875 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16204791 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 29842 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 16,00 mb


OTL by OldTimer - Version 3.2.12.1 log created on 09172010_072615

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi,
ich bin so vorgegangen wie angegeben, leider hat sich nach Anwendung des Programm kein log file automatisch geöffnet.
Auch wenn ich nach der Datei combofix.txt suche finde ich nix!
Hast du eine Idee was ich falsch gemacht habe?
LG

Hast Du einen Ordner Qoobox direkt auf c:\ ?

Sorry,
ich habs nochmal gemacht und diesmal richtig.
Hier der bedrohlich lange log file:


ComboFix 10-09-16.07 - Schneider 17.09.2010 23:34:53.1.2 - x86
Microsoft® Windows Vista™ Home Premium [GMT 2:00]
ausgeführt von:: c:\users\Schneider\Desktop\cofi.exe
SP: Windows Defender *enabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SEC
c:\windows\SEC\172100logo.bmp
c:\windows\SEC\banner.png
c:\windows\SEC\Computer.png
c:\windows\SEC\Media _S_ Logo.png
c:\windows\SEC\Samsung.png
c:\windows\SEC\Samsung2.png
c:\windows\SEC\SamsungLogo.png
c:\windows\SEC\Wallpapers\wallpaper.jpg
c:\windows\SEC\Wallpapers\wallpaper1.jpg
c:\windows\SEC\Wallpapers\Wallpaper2.jpg
c:\windows\system32\Drivers\jhhfgnc.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_pbkhpdqx


((((((((((((((((((((((( Dateien erstellt von 2010-08-17 bis 2010-09-17 ))))))))))))))))))))))))))))))
.

2010-09-17 05:14 . 2010-09-17 05:14 -------- d-----w- C:\_OTL
2010-09-16 05:29 . 2010-09-16 05:48 -------- d-----w- c:\windows\system32\MpEngineStore
2010-09-15 18:54 . 2010-09-15 18:54 -------- d-----w- c:\users\Schneider\AppData\Roaming\Malwarebytes
2010-09-15 18:54 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 18:54 . 2010-09-15 18:54 -------- d-----w- c:\programdata\Malwarebytes
2010-09-15 18:54 . 2010-09-15 20:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-15 18:54 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-15 05:15 . 2010-04-05 16:08 317952 ----a-w- c:\windows\system32\MP4SDECD.DLL
2010-09-15 05:15 . 2010-08-17 13:32 126464 ----a-w- c:\windows\system32\spoolsv.exe
2010-09-15 05:15 . 2010-04-16 16:10 501760 ----a-w- c:\windows\system32\usp10.dll
2010-09-15 05:15 . 2010-05-27 19:16 738816 ----a-w- c:\windows\system32\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-17 21:44 . 2009-03-20 09:53 90967 ----a-w- c:\programdata\nvModes.dat
2010-09-17 21:42 . 2008-09-12 19:41 12 ----a-w- c:\windows\bthservsdp.dat
2010-09-16 05:31 . 2008-09-12 04:11 -------- d-----w- c:\programdata\Microsoft Help
2010-09-13 20:12 . 2009-08-10 08:25 1 ----a-w- c:\users\Schneider\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-11 07:28 . 2008-09-11 15:12 678910 ----a-w- c:\windows\system32\perfh007.dat
2010-09-11 07:28 . 2008-09-11 15:12 147378 ----a-w- c:\windows\system32\perfc007.dat
2010-06-26 06:05 . 2010-08-10 21:10 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-10 21:10 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-10 21:10 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-10 21:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:18 . 2010-08-10 21:10 2036736 ----a-w- c:\windows\system32\win32k.sys
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 2153472]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 102400]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-26 13548064]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-26 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2009-08-06 381440]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

c:\users\Schneider\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer4"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-891691069-936035217-1371757700-1003]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
S0 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2008-05-08 226328]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-06-22 108289]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2008-09-12 13312]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-08-05 44576]
S3 VMC302;Vimicro Camera Service VMC302;c:\windows\system32\Drivers\VMC302.sys [2008-06-05 242048]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK
*Deregistered* - ibwkdj

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Inhalt des "geplante Tasks" Ordners

2010-09-17 c:\windows\Tasks\User_Feed_Synchronization-{993D2734-935D-43BF-BCD8-D24F9C1D79FD}.job
- c:\windows\system32\msfeedssync.exe [2010-08-10 04:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp:\\www.samsungcomputer.com
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Schneider\AppData\Roaming\Mozilla\Firefox\Profiles\ymbotm1u.default\
FF - prefs.js: browser.startup.homepage - finance.yahoo.com
FF - plugin: c:\users\Schneider\AppData\Roaming\Mozilla\Firefox\Profiles\ymbotm1u.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a} - (no file)
HKLM-Run-NPSStartup - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-17 23:45
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ibwkdj]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(3652)
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
c:\windows\system32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\ehome\ehmsas.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Java\jre6\bin\jucheck.exe

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hier schon mal der OSAM log:



OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

danke für deine hilfe, ich werde irgendwie zunehmend pessimistisch :-/.

Also:

*Ich habe GMER zweimal versucht, beide male ists abgestürzt. Ich kanns gern auch noch öfters versuchen.
*bootkit hab ich als jpg datei in den anhang getan.

Diesmal hats geklappt,
hier noch der GMER log:
am ende des Scans kam die fehlermeldung, dass GMER rootkit aktivität gefunden hat.
LG



GMER Logfile:
--- --- ---

Bitte mit OSAM deaktivieren und löschen.

Anschließend müssen wir mal Deinen MBR dumpen:
Dazu - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Hi,
vielen Dank, super Hilfe :-)!!

Frage zum ersten Schritt, also:


Wie genau soll ich in OSAM vorgehen? In der OSAM Menüleiste oben unter "Files" den betreffenden ibwkdj.sys auswählen und dann "Delete" oder "Kill" anklicken?
oder anders?

Sorry,
ich habe GMER mit OSAM verwechselt, insofern ist die Frage sinnfrei.

Da ich nun aber mit OSAM arbeite habe ich eine andere Frage:

ich kann die betreffende datei ibwkdy.sys mit OSAM deaktivieren ("Turn run off") aber löschen kann ich die Dabei nicht. Die Funktion "Delete File" ist nämlich nicht auswählbar.
Oder ist es so gemeint, dass ich die Datei erst mit OSAM deaktivieren soll und dann ganz normal mit dem Windows Explorer suchen und in den Papierkorb legen soll?

Lies doch einfach mal die OSAM Anleitung unter Einträge deaktivieren!!

Hi,

sorry ich bin etwas unbeholfen, da ich mich mit der Materie Virenbekämpfung nicht auskenne.

Ich habe nun die Schritte 1-4 der Anleitung erfolgreich durchgeführt und gemäß der Aufforderung von OSAM "Reboot now" neu hochgefahren.

Dann habe ich OSAM wieder gestartet, habe aber leider anders als in der Beschreibung angekündigt keinen automatischen Report bekommen.
Wenn ich die Datei ibwkdj.sys nun in den einträgen suche finde ich sie nicht mehr! Auch wenn ich "Refresh" mache, findet OSAM die Datei nicht mehr.

Wenn ich im ganz normalen Explorer suche ist die Datei ibwkdj.sys aber noch da.

Hast du ne Idee woran das liegt und wie ich dem begegnen sollte?
LG

Dann diese Datei bitte bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Anschließend manuell löschen und zur Kontrolle ein neues OSAM Log posten.


Denk auch bitte an den Bootkit Remover. Führ aber bitte zum Dumpen diesen Befehl aus, der Fix kommt später:

Lad danach die neu erstellte Datei c:\mbr.dat bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Hi,

-ich habe die Datei idwkdj.sys in eurem Upload Channel hochgeladen.
-ich habe die Datei anschließend manuell im Explorer gelöscht
-Dann habe ich einen neuen OSAM Scan gemacht, hier der log:


OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Hi,
ich habe nur die Datei "bootkit_remover.exe" im Bootkit Remover Ordner, ich gehe davon aus, dass du die meinst?!

Wenn ja, dann kopiere ich diese "bootkit_remover.exe" Datei in den C:\Windows\System32 und gebe dann unter "Ausführen" zunächst "cmd" ein.
Dann öffnet sich das schwarze Administrator Fenster, in welches ich dann den genannten Code "remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat" als ein ganzes hintereinander eingebe, richtig?

Ich habe den Code entsprechend angepasst, statt:

remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat

habe ich

bootkit_remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat

verwendet.

Die Datei mbr.dat habe ich nun hochgeladen!

Danke+Grüße

Ja das war so ok. :)

Mach mal bitte jetzt diesen Befehl:

Hi, klappt leider nicht!
Wenn ich den Code eingebe erscheint öffnet sich zunächst ein Fenster in dem Bootkit Remover darauf hinweist, dass es sofort nach dem löschen neustarten will. Ich bejahe dies, dann erscheint im Administratorfeld folgende Nachricht:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 1(build 6001), 31.bit

System volume is \\.\C:
\\.\C: -> \\PhysicalDrive0 at offset 0*00000002´80100000
ATA_Write<>: DeviceIoControl<> ERROR 1
ERROR: Can´t write first sector of the disk

Done;



Grüße.

Ach Du hast ja Vista. Da geh ich meist einen anderen Weg:

Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

Hi,

danke für deine individuelle Hilfe!

Leider besitze ich nur einen Laptop und habe keinen CD Brenner, da das CD Brennen ja mit dem Internet etwas an Bedeutung verloren hat fällt mir spontan auch kein anderer Weg ein die CD zu brennen.

Gibt es noch eine andere Möglichkeit?

LG

Brenn die CD über einen Zeitrechner mit Brenner.
Wenn Du noch ne normale Vista-Installations-CD hast, kannst Du das auch damit machen. Nur haben die meisten sowas nicht, deswegen verlink ich immer die ISO zur Recovery-CD.

Hi,
ich könnte vll. in ein Internetcafe und es dort brennen lassen. omann ist das kompliziert :-(.

meinst du wirklich, dass das dann eine endgültige lösung wäre?
vista cd hab ich keine, nur eine xp cd müßte ich noch haben.

gerade hat sich der AntiVir Guard wieder gemeldet, die Datei "$RZH49CO.sys enthält Erkennungsmuster des Rootkits RKIT/Agent.biuu"
also wieder was neues :-(. Das war so nicht geplant, oder?!

ich habe mittlerweile den eindruck, dass ein neuaufsetzen des laptops mit der XP cd einfacher wäre als hier noch weiter zu machen.

was meinst du wäre sinnvoll, auch in anbetracht des neuen Virus?

Wär auch ne Option. Du hast aber jetzt ein Vista installiert? Bei manchen Notebooks gibt es leider keine XP-Treiber. Evtl. kannst Du aber recovern und so das Gerät mit Vista in den Auslieferungszustand wieder versetzen.

Oder wir machen mit der Bereinigung weiter. Bist Du sicher, dass das Notebook keinen Brenner hat? Wenn das Teil Vista hat wird es etwas moderner sein und modernere Notebooks/Laptops haben immer Brenner als internes optisches Laufwerk.

Hm, XP-Treiber^^ klingt nach kompliziertem Suchen.
Wie kann ich denn "recovern" und Vista in den Auslieferungszustand versetzen? mit der "Systemwiederherstellung"?

Ich habe ein Samsung R710H Laptop, somit ohne Brenner (siehe hxxp://www.notebookinfo.de/notebook-hersteller/samsung/serien/samsung-r710/), ich seh nix zumindest keine entsprechende Info.

Ansonsten hab ich jetzt das Vista Notfall/Recovery-CD 32-Bit downgeloadet und auf den USB Stick gepackt. muss ich mit den downgeloadeten Dateien (".." und "boot" und "sources" "bootmgr") noch irgendwas machen (entpacken oder so) bevor ichs brennen lasse?

ist die existenz von der Datei $RZH49CO.sys im Plan?

Müsstest mal ins Handbuch zu Deinem Gerät schauen. Üblicherweise packen die Hersteller eine Recovery-Partition auf die Festplatte, Du musst natürlich so schnell wie möglich Recocvery-Medien dann selbst brennen. Früher lagen echte Installations-CDs dabei, dann kamen die unsäglichen Recovery-Medien und nun eigentlich nur noch Recovery-Partitionen zum selbst brennen. Kann aber bei Deinem Gerät anders sein.

Reine Leselaufwerke sind am aussterben, daher glaub ich das nicht ganz, dass Du keinen Brenner hast. Schau mal im Gerätemanager und/oder Arbeitsplatz. Windows müsste im Arbeitsplatz DVD-RAM-Laufwerk o.ä. anzeigen und im Gerätmanager findest Du in der entpsrechenden Rubrik für optische Laufwerke auch die genaue Bezeichnung des Laufwerks. Du kannst auch einfach mal CDBurnerXP installieren und schauen ob Du damit einfach brennen kannst.

Die ISO-Datei darfst Du nicht entpacken/extrahieren, Du musst die ISO-Datei (das CD-Abbild!) per Imagebrennfunktion auf eine Disc brennen!

Ok, ich hab mir die Datei vista_recover_x86.iso runtergeladen und auf den USB Stick gepackt und werde damit morgen ins Internetcafe zum brennen gehen. Ich hoffe die beherrschen dort diese "Imagebrennfunktion".

Wenn ich die CD dann habe lege ich Sie ein und boote von der CD - aber wie genau boote ich von der CD? CD einlegen, Notebook ausmachen, dann neu hochfahren und während dem hochfahren F2 drücken?

Danke für deine Antwort! LG

Hallo?! Prüf doch erstmal ob Dein Laufwerk am Notebook wirklich kein Brenner ist! Ich glaub das nämlich nicht denn wie gesagt sind reine Leselaufwerke am Aussterben!!

Hast Du noch nie eine CD gebrannt?? Das ist eine Standardfunktion die jedes Popelprogramm hinbekommt!!

Bootreihenfolge ändern

interessant, ich lerne durch den virus und die bereinigung teile des betriebssystems kennen von denen ich nichts ahnte lol.

ich war also im internetcafe, das war ein geringerer aufwand als mich mit einem (möglicherweise) vorhandenen cd brenner auseinanderzusetzen (rohlinge besorgen, brennprogramm downloaden). die letzte cd die ich selbst gebrannt habe, das war vor zwei PC´s und ca. 8-10 jahren hehe.

es hat alles geklappt wie du es beschrieben hast,

ich habe bootrec.exe /fixboot eingegeben, es kam "Dieser Vorgang wurde erfolgreich beendet", dann bootrec.exe /fixmbr auch dann wieder "Dieser Vorgang wurde erfolgreich beendet".

wie gehts weiter ;)?

1. Kontrolle des MBR mit MBRCheck

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes


2. CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer: Phoenix Technologies Ltd.
System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
System Product Name: R710
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 137):
0x8203D000 \SystemRoot\system32\ntoskrnl.exe
0x8200A000 \SystemRoot\system32\hal.dll
0x89C0A000 \SystemRoot\system32\kdcom.dll
0x89C12000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x89C72000 \SystemRoot\system32\PSHED.dll
0x89C83000 \SystemRoot\system32\BOOTVID.dll
0x89C8B000 \SystemRoot\system32\CLFS.SYS
0x89CCC000 \SystemRoot\system32\CI.dll
0x89DAC000 \SystemRoot\system32\drivers\Wdf01000.sys
0x89E28000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x89E35000 \SystemRoot\system32\drivers\acpi.sys
0x89E7B000 \SystemRoot\system32\drivers\WMILIB.SYS
0x89E84000 \SystemRoot\system32\drivers\msisadrv.sys
0x89E8C000 \SystemRoot\system32\drivers\pci.sys
0x89EB3000 \SystemRoot\System32\drivers\partmgr.sys
0x89EC2000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x89EC5000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x89ECF000 \SystemRoot\system32\drivers\volmgr.sys
0x89EDE000 \SystemRoot\System32\drivers\volmgrx.sys
0x89F28000 \SystemRoot\System32\drivers\mountmgr.sys
0x8A00A000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8A0DA000 \SystemRoot\system32\DRIVERS\iaNvStor.sys
0x8A122000 \SystemRoot\system32\drivers\atapi.sys
0x8A12A000 \SystemRoot\system32\drivers\ataport.SYS
0x8A148000 \SystemRoot\system32\drivers\fltmgr.sys
0x8A17A000 \SystemRoot\system32\drivers\fileinfo.sys
0x8A18A000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A1FB000 \SystemRoot\system32\drivers\ndis.sys
0x8A306000 \SystemRoot\system32\drivers\msrpc.sys
0x8A331000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A401000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8A510000 \SystemRoot\system32\drivers\volsnap.sys
0x8A549000 \SystemRoot\System32\Drivers\spldr.sys
0x8A551000 \SystemRoot\System32\Drivers\mup.sys
0x8A560000 \SystemRoot\System32\drivers\ecache.sys
0x8A587000 \SystemRoot\system32\drivers\disk.sys
0x8A598000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8A5B9000 \SystemRoot\system32\drivers\crcdisk.sys
0x8A69F000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8A6AA000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8E00B000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8E73E000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8E7DD000 \SystemRoot\System32\drivers\watchdog.sys
0x8E7EA000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8A6B3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8A6F1000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8A700000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8A712000 \SystemRoot\system32\DRIVERS\athr.sys
0x8A36B000 \SystemRoot\system32\DRIVERS\yk60x86.sys
0x8E7F5000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8A7D1000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8E000000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8A3B7000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8E7F9000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8A7E4000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8A3E5000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8A7EF000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x89F38000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8A000000 \SystemRoot\system32\DRIVERS\serscan.sys
0x89F47000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x89F75000 \SystemRoot\system32\DRIVERS\storport.sys
0x89FB6000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x89FC1000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x89FD8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8E805000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8E828000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8E837000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8E84B000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8E860000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8E870000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8E872000 \SystemRoot\system32\DRIVERS\ks.sys
0x8E89C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8E8A6000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8E8B3000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8E8E7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8E8F8000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8EAF8000 \SystemRoot\system32\drivers\portcls.sys
0x8EB25000 \SystemRoot\system32\drivers\drmk.sys
0x8EB4A000 \SystemRoot\system32\drivers\nvhda32v.sys
0x8EB58000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8EB61000 \SystemRoot\System32\Drivers\Null.SYS
0x8EB68000 \SystemRoot\System32\Drivers\Beep.SYS
0x8EB6F000 \SystemRoot\System32\drivers\vga.sys
0x8EB7B000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8EB9C000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8EBB3000 \SystemRoot\System32\Drivers\VMC302.sys
0x8EBEF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8EBF7000 \SystemRoot\system32\drivers\rdpencdd.sys
0x89FE3000 \SystemRoot\System32\Drivers\Msfs.SYS
0x89FEE000 \SystemRoot\System32\Drivers\Npfs.SYS
0x89C00000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8EC03000 \SystemRoot\System32\drivers\tcpip.sys
0x8ECEC000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8ED07000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8ED1D000 \SystemRoot\system32\DRIVERS\smb.sys
0x8ED31000 \SystemRoot\system32\drivers\afd.sys
0x8ED79000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8EDAB000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8EDC1000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8EDCF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8EDE2000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8EDE8000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8EE24000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8EE2E000 \SystemRoot\System32\Drivers\dfsc.sys
0x8EE45000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8EE61000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8EE63000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8EE70000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x97420000 \SystemRoot\System32\win32k.sys
0x8EF40000 \SystemRoot\System32\drivers\Dxapi.sys
0x8EF4A000 \SystemRoot\system32\DRIVERS\monitor.sys
0x97640000 \SystemRoot\System32\TSDDD.dll
0x97660000 \SystemRoot\System32\cdd.dll
0x8EF59000 \SystemRoot\system32\drivers\luafv.sys
0x8EF74000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8EF88000 \SystemRoot\system32\DRIVERS\kmdfmemio.sys
0x8A5C2000 \SystemRoot\system32\drivers\spsys.sys
0x8EF90000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8EFA0000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8EFCA000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8EFD4000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9C40D000 \SystemRoot\system32\drivers\HTTP.sys
0x9C47A000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9C497000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9C4B0000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9C4C5000 \SystemRoot\system32\drivers\mrxdav.sys
0x9C4E5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9C504000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9C53D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9C555000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9C57C000 \SystemRoot\System32\DRIVERS\srv.sys
0x9C5E2000 \SystemRoot\system32\drivers\peauth.sys
0x9C6C0000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9C6CA000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9C6D6000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9C6EC000 \??\C:\Windows\system32\FsUsbExDisk.SYS
0x77150000 \Windows\System32\ntdll.dll

Processes (total 78):
0 System Idle Process
4 SYSTEM
436 C:\Windows\System32\smss.exe
504 csrss.exe
560 C:\Windows\System32\wininit.exe
572 csrss.exe
604 C:\Windows\System32\services.exe
616 C:\Windows\System32\lsass.exe
628 C:\Windows\System32\lsm.exe
764 C:\Windows\System32\svchost.exe
832 C:\Windows\System32\nvvsvc.exe
860 C:\Windows\System32\svchost.exe
900 C:\Windows\System32\svchost.exe
948 C:\Windows\System32\svchost.exe
984 C:\Windows\System32\svchost.exe
1004 C:\Windows\System32\svchost.exe
1084 C:\Windows\System32\audiodg.exe
1104 C:\Windows\System32\svchost.exe
1136 C:\Windows\System32\winlogon.exe
1144 C:\Windows\System32\SLsvc.exe
1200 C:\Windows\System32\svchost.exe
1404 C:\Windows\System32\rundll32.exe
1472 C:\Windows\System32\svchost.exe
1684 C:\Windows\System32\spoolsv.exe
1692 C:\Windows\System32\taskeng.exe
1724 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1740 C:\Windows\System32\svchost.exe
1988 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
2028 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2044 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
276 C:\Program Files\Bonjour\mDNSResponder.exe
284 C:\Windows\System32\svchost.exe
372 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
968 C:\Windows\System32\FsUsbExService.Exe
1540 C:\Windows\System32\svchost.exe
1872 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
484 C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
2064 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
2084 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
2196 C:\Windows\System32\svchost.exe
2228 C:\Windows\System32\svchost.exe
2260 C:\Windows\System32\SearchIndexer.exe
2696 C:\Windows\System32\dwm.exe
2748 C:\Windows\explorer.exe
2792 C:\Windows\System32\taskeng.exe
2932 C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
3016 C:\Program Files\Windows Defender\MSASCui.exe
3028 C:\Windows\RtHDVCpl.exe
3044 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3052 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
3120 C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe
3140 C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
3192 C:\Windows\System32\rundll32.exe
3272 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3408 C:\Program Files\iTunes\iTunesHelper.exe
3428 C:\Program Files\FreePDF_XP\fpassist.exe
3440 C:\Program Files\Java\jre6\bin\jusched.exe
3448 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
3456 C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
3464 C:\Program Files\Windows Sidebar\sidebar.exe
3504 C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
3516 C:\Windows\ehome\ehtray.exe
3532 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
3632 C:\Program Files\Mozilla Firefox\firefox.exe
3688 C:\Program Files\OpenOffice.org 3\program\soffice.exe
3724 C:\Program Files\OpenOffice.org 3\program\soffice.bin
3804 C:\Windows\ehome\ehmsas.exe
2332 C:\Windows\servicing\TrustedInstaller.exe
3364 C:\Program Files\iPod\bin\iPodService.exe
3784 C:\Program Files\Windows Media Player\wmpnscfg.exe
1188 C:\Program Files\Windows Media Player\wmpnetwk.exe
2384 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
1732 C:\Windows\explorer.exe
1276 C:\Windows\System32\SearchProtocolHost.exe
2176 C:\Windows\System32\SearchFilterHost.exe
1328 C:\Windows\System32\svchost.exe
4224 C:\Users\Schneider\Desktop\MBRCheck.exe
4240 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`80100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000026`85d00000 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHM320JI, Rev: 2SS00_01

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Der MBR ist schonmal ok. :)

Hi,

am Ende des Scans kam zwar nicht wie in deiner Beschreibung angekündigt ein "OK" Button den man drücken muss, ich hoffe du kannst mit dem Log trotzdem was anfangen:OTL Logfile:
--- --- ---

< MD5 for: [2006.11.02 11:46:03 | 000,011,776 | ---- | M] (MICROSOFT CORPORATION) >
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\cngaudit.dll
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cngaudit.dll
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll

< MD5 for: [2006.11.02 11:49:36 | 000,019,048 | ---- | M] (MICROSOFT CORPORATION) >
[2006.11.02 11:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys

< MD5 for: [2006.11.02 11:49:52 | 000,053,864 | ---- | M] (MICROSOFT CORPORATION) >
[2006.11.02 11:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys

< MD5 for: [2006.11.02 11:50:13 | 000,040,040 | ---- | M] (NVIDIA CORPORATION) >
[2006.11.02 11:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys

< MD5 for: [2006.11.02 11:51:25 | 000,232,040 | ---- | M] (INTEL CORPORATION) >
[2006.11.02 11:51:25 | 000,232,040 | ---- | M] (Intel Corporation) -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys

< MD5 for: [2008.01.21 04:23:00 | 000,021,560 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys

< MD5 for: [2008.01.21 04:23:01 | 000,056,376 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys

< MD5 for: [2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA CORPORATION) >
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\drivers\nvstor.sys
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys

< MD5 for: [2008.01.21 04:23:23 | 000,235,064 | ---- | M] (INTEL CORPORATION) >
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) -- C:\Windows\System32\drivers\iaStorV.sys
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys

< MD5 for: [2008.01.21 04:23:42 | 000,096,768 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\wininit.exe
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\wininit.exe
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe

< MD5 for: [2008.01.21 04:24:05 | 000,592,384 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\netlogon.dll
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\netlogon.dll
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll

< MD5 for: [2008.01.21 04:24:21 | 000,627,200 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\user32.dll
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\user32.dll
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll

< MD5 for: [2008.01.21 04:24:47 | 000,015,872 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\ws2ifsl.sys
[2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys

< MD5 for: [2008.01.21 04:24:49 | 000,025,088 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\userinit.exe
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\userinit.exe
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe

< MD5 for: [2008.01.21 04:24:49 | 000,314,880 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe

< MD5 for: [2008.01.21 04:24:50 | 000,177,152 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\scecli.dll
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\scecli.dll
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll

< MD5 for: [2008.07.22 08:33:02 | 000,319,000 | ---- | M] (INTEL CORPORATION) >
[2008.07.22 08:33:02 | 000,319,000 | ---- | M] (Intel Corporation) -- C:\Windows\System32\drivers\iaStor.sys
[2008.07.22 08:33:02 | 000,319,000 | ---- | M] (Intel Corporation) -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_783fb8da\iaStor.sys

< MD5 for: [2009.04.11 08:28:13 | 000,314,368 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe

< MD5 for: [2009.04.11 08:28:23 | 000,592,896 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll

< MD5 for: [2009.04.11 08:28:24 | 000,177,152 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll

< MD5 for: [2009.04.11 08:28:25 | 000,627,712 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll

< MD5 for: [2009.04.11 08:32:26 | 000,019,944 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sy s

< %systemroot%\system32\drivers\*.sys /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2008.01.21 05:14:18 | 016,846,848 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2008.01.21 05:14:08 | 000,106,496 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2008.01.21 05:14:18 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006.11.02 12:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006.11.02 12:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[2008.01.21 04:24:42 | 000,242,744 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\rsaenh.dll
[2008.01.21 04:24:38 | 000,225,792 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\SLC.dll

< End of report >

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hatte schon fast nicht mehr daran geglaubt, herzlichen dank schon mal!!
hier wär schon mal der erste log.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4704

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18943

27.09.2010 22:05:13
mbam-log-2010-09-27 (22-05-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 241081
Laufzeit: 1 Stunde(n), 13 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier wäre noch der SUPERAntiSpyware log:


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/28/2010 at 10:18 PM

Application Version : 4.43.1000

Core Rules Database Version : 5596
Trace Rules Database Version: 3408

Scan type : Complete Scan
Total Scan Time : 01:14:00

Memory items scanned : 725
Memory threats detected : 0
Registry items scanned : 8866
Registry threats detected : 0
File items scanned : 106165
File threats detected : 3

Adware.Tracking Cookie
cdn.eyewonder.com [ C:\Users\Schneider\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\G7EBRBM9 ]
s0.2mdn.net [ C:\Users\Schneider\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\G7EBRBM9 ]
www.adservercentral.info [ C:\Users\Schneider\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\G7EBRBM9 ]




LG mcsolaar

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

erstmal ein herzliches dankeschön für deine geduldige und fachkundige hilfe!

zwischenzeitlich gabs keine funde mehr, nein. auch der laptop läuft einwandfrei.
ich hoffe es bleibt so.

welche schritte wären jetzt noch notwendig?
sollte ich alle passwörter ändern (onlinebanking hab ich während der infektion gelassen, soll ichs trotzdem ändern?)? ich will die spende ans trojaner board ja sicher überweisen :).
gibts wichtige updates, die ich machen sollte?

Wir sind dann durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.