Trojaner-Board - TR/Dldr.Tracur.B.182

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Dldr.Tracur.B.182 (https://www.trojaner-board.de/91571-tr-dldr-tracur-b-182-a.html)

TR/Dldr.Tracur.B.182

Hallo,

Ich glaube einen Trojaner Downloader zu haben. Bei Google konnte ich aber über den "Tracur.B.182" nichts finden. Ich habe schon mit Malewarebites alles durchsucht, aber das löschen hat nicht funktioniert.

Merkwürdigerweise ergibt die hijackthis Auswertung keine befallenen Ergebnisse mehr, dennoch bekomme ich immer wieder Virenalarm von Avira.

Ich hoffe Ihr könnt mir helfen. Schlage mich jetzt schon seit einer Woche durch etliche Foren.

Danke

Ps. der Avira Report mit den neuesten Funden

Zitat:

Ich habe schon mit Malewarebites alles durchsucht, aber das löschen hat nicht funktioniert.

Was genau wurde von Malwarebytes gefunden?! Poste das Log von Malwarebytes.

Maleware hat mehrere Infizierungen gefunden und gelöscht. Dannach verliefen die letzten Scans mit Malwarebytes ohne Funde, auch die Hijackthis Logfiles haben ab da nichts mehr ergeben, dennoch hat Antivir dann wieder Trojaner gemeldet.

Deshalb poste ich hiermit mal die letzten Suchläufe von Maleware die Viren oder Trojanerbefall beinhalteten.

Die aktuellsten Meldungen in Bezug auf Schädlinge sind aber wie gesagt von Antivir, das betreffende Logfile habe ich in der ersten Nachricht hochgeladen.
Das war nachdem ich mit Malewarebytes ziemlich viele entfernt habe. Weil danach wieder Trojaner von Antivir gemeldet worden, bin ich mir halt jetzt nicht ganz sicher ob ich nicht irgendwo noch einen Trojaner Downloader draufhabe, der noch nicht entfernt worden ist.

Viele Grüße,

Georg

Hast Du keine aktuelleren Logs von Malwarebytes?? Die sind ja noch von letztem Jahr!
Das Worddokument von Deinem AntiVir-Log kann ich nicht lesen, mein OpenOffice bringt nur Zeichmüll raus. Poste bitte etwas in einem vernünftigen Format. Wenn man nur reinen Text transportieren, ist sowas proprietäre wie *.doc ziemlich sinnfrei. Der Notepad-Editor ist in Windows auch ein Bordmittel und kann ganz normale *.txt Dateien erzeugen, sowas will ich haben.

Oh verzeih, Maleware nennt wohl die ältesten Logfiles zuerst, da habe ich nicht aufgepasst. Hier die aktuellen:

Und hier der neueste Avira Scan, der Trojaner angezeigt hat,
obwohl davor Malewarebytes erfolgreich 10 infizierte Dateien gelöscht hatte
und obwohl die Scans mit Malewarebytes danach ohne Ergebnis verlaufen waren, als .txt

Viele Grüße

St. georg

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne,

Vielen Dank für die Hilfe!

Anbei die Logfiles:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O33 - MountPoints2\{397d2716-ee1f-11de-85d4-001b77049e1f}\Shell\AutoRun\command - "" = E:\Toshiba\more4you.exe -- File not found

O33 - MountPoints2\{780bc6cd-6c36-11dc-8195-001b77049e1f}\Shell\AutoRun\command - "" = chuj.exe

O33 - MountPoints2\{908ccc7a-47b0-11de-84ae-001b77049e1f}\Shell\AutoRun\command - "" = E:\WDSetup.exe -- File not found

O33 - MountPoints2\{d64bfad0-b729-11df-870b-001b77049e1f}\Shell - "" = AutoRun

O33 - MountPoints2\{d64bfad0-b729-11df-870b-001b77049e1f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{d64bfad0-b729-11df-870b-001b77049e1f}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found

O33 - MountPoints2\{d64bfad3-b729-11df-870b-001b77049e1f}\Shell - "" = AutoRun

O33 - MountPoints2\{d64bfad3-b729-11df-870b-001b77049e1f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{d64bfad3-b729-11df-870b-001b77049e1f}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found

O33 - MountPoints2\{d64bfad5-b729-11df-870b-001b77049e1f}\Shell - "" = AutoRun

O33 - MountPoints2\{d64bfad5-b729-11df-870b-001b77049e1f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{d64bfad5-b729-11df-870b-001b77049e1f}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found

O33 - MountPoints2\{d64bfad6-b729-11df-870b-001b77049e1f}\Shell - "" = AutoRun

O33 - MountPoints2\{d64bfad6-b729-11df-870b-001b77049e1f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{d64bfad6-b729-11df-870b-001b77049e1f}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found

O36 - AppCertDlls: convaint - (C:\WINDOWS\cmdtvol.dll) - C:\WINDOWS\cmdtvol.dll File not found

[2010.09.30 10:31:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\95431C66CF9A4913BFFF6050785AFB65.TMP

[2010.10.02 23:08:11 | 000,001,185 | ---- | M] () -- C:\WINDOWS\System32\948241263

[2010.10.02 19:19:47 | 000,000,258 | -HS- | M] () -- C:\WINDOWS\System32\414132291

[2010.09.30 12:13:22 | 000,000,057 | ---- | M] () -- C:\WINDOWS\System32\187f7f14

[2008.10.17 21:51:12 | 000,019,567 | ---- | C] () -- C:\Dokumente und Einstellungen\JDL\Lokale Einstellungen\Anwendungsdaten\xurepun.db

[2008.10.17 21:51:12 | 000,017,260 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\utemokiwyt.inf

[2008.10.17 21:51:12 | 000,013,283 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\medusuco.db

[2008.10.17 21:51:12 | 000,011,753 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\irykinagew._sy

[2008.10.17 21:51:12 | 000,011,591 | ---- | C] () -- C:\Dokumente und Einstellungen\JDL\Anwendungsdaten\lucalelu.lib

[2008.10.17 21:51:12 | 000,010,993 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\xypy._sy

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Vielen Dank. Ich habe die Anweisungen wie beschrieben ausgeführt. Dabei ist etwas Seltsames passiert, mit dem von OTL geforderten Neustart ist das Programm selbst von meinem Computer verschwunden und von meinem Computer kam die Nachricht, dass OTL nicht mehr gefunden werden kann.

Ist mein Labtop noch zu retten? Ich weiß leider gar nicht was es mit den von dir geposteten Files auf sich hat und bin ein bisschen unschlüssig was das jetzt zu bedeuten hat.

Gruß,

Georg

War OTL auf dem Desktop? :wtf:
Lad es bitte nochmal runter und probier den Fix ein 2. Mal.

Ja, OTL war auf dem Desktop.
Beim erneuten Installieren und Ausführen von OTL kam dieser Bericht:

Jetzt habe ich das Fixen wiederholt. Nach dem Neustart ist OTL dieses mal zum Glück nicht wieder verschwunden und hat diesen Bericht ausgespuckt:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

vielen Dank für deine Umfangreiche Hilfe.
Ich habe Combifix wie beschrieben durchgeführt, davor auch ccleaner.
Leider sind beim Neustart Avira und ein Fernsehprogramm aufgegangen, die immer beim Neustart automatisch starten, obwohl combifix gesagt hat ich solle keine anderen Programme öffnen. Ich habe sie dann schnell geschlossen, währen Combifix die log Datei erstellt hat.

Ausserdem ist mir während des Vorgangs etwas ungünstiges eingefallen, und zwar, dass ich noch eine mobile Festplatte habe, die ich jetzt nicht mit gesäubert habe. Es könnte sein, dass ich sie während der Zeit als ich mir den Virus eingefangen habe, benutzt habe. Soll ich alle von dir vorgeschlagenen Suchläufe (OTL, CCleaner, Combifix) nochmal durchführen wenn ich die mobile Festplatte angeschlossen habe?

Viele Dank für Alles.

Georg

Combofix Logfile:

Code:

ComboFix 10-10-10.02 - JDL 11.10.2010  12:25:25.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.607 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\JDL\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007C.manifest

c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007O.manifest

c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007P.manifest

c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007S.manifest

C:\test.txt

c:\windows\abixewo.scr

c:\windows\guwa._sy

c:\windows\system32\2060263284

c:\windows\system32\spool\prtprocs\w32x86\CNMPD7L.DLL

c:\windows\system32\spool\prtprocs\w32x86\CNMPP7L.DLL

c:\windows\system32\unrar.exe
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_TDSSSERV
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-09-11 bis 2010-10-11  ))))))))))))))))))))))))))))))

.
 

2010-10-10 20:15 . 2010-10-10 20:15        --------        dc----w-        C:\_OTL

2010-10-07 20:29 . 2010-10-07 20:29        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2010-10-07 20:28 . 2006-06-19 11:01        69632        -c--a-w-        c:\windows\system32\ztvcabinet.dll

2010-10-07 20:28 . 2006-05-25 13:52        162304        -c--a-w-        c:\windows\system32\ztvunrar36.dll

2010-10-07 20:28 . 2005-08-25 23:50        77312        -c--a-w-        c:\windows\system32\ztvunace26.dll

2010-10-07 20:28 . 2003-02-02 18:06        153088        -c--a-w-        c:\windows\system32\UNRAR3.dll

2010-10-07 20:28 . 2002-03-05 23:00        75264        -c--a-w-        c:\windows\system32\unacev2.dll

2010-10-07 20:28 . 2010-10-07 20:28        --------        dc----w-        c:\programme\Trojan Remover

2010-10-07 20:28 . 2010-10-07 20:28        --------        dc----w-        c:\dokumente und einstellungen\JDL\Anwendungsdaten\Simply Super Software

2010-10-07 20:28 . 2010-10-07 20:28        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software

2010-10-03 08:39 . 2010-09-06 09:26        189520        -c--a-w-        c:\windows\system32\drivers\tmcomm.sys

2010-09-30 08:32 . 2010-10-03 16:58        --------        dc----w-        c:\programme\Enigma Software Group

2010-09-30 08:30 . 2010-09-30 08:30        --------        dc----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2010-09-22 16:45 . 2010-09-22 16:45        --------        dc----w-        c:\dokumente und einstellungen\JDL\Lokale Einstellungen\Anwendungsdaten\TransMac

2010-09-22 16:45 . 2010-09-22 16:45        --------        dc----w-        c:\programme\TransMac

2010-09-21 15:55 . 2010-09-21 15:55        --------        dc----w-        c:\programme\Sun

2010-09-21 15:55 . 2010-09-21 15:54        73728        -c--a-w-        c:\windows\system32\javacpl.cpl

2010-09-21 15:55 . 2010-09-21 15:54        423656        -c--a-w-        c:\windows\system32\deployJava1.dll

2010-09-21 15:55 . 2010-09-21 15:54        423656        -c--a-w-        c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

2010-09-21 08:29 . 2010-09-21 08:29        0        -c-ha-w-        c:\dokumente und einstellungen\JDL\cibkbglbef.tmp

2010-09-19 12:48 . 2010-09-19 13:02        --------        dc----w-        c:\dokumente und einstellungen\JDL\Anwendungsdaten\U3
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        -c--a-w-        c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        -c--a-w-        c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2009-12-09 01:19        94208        -c--a-w-        c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]

"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-23 237568]

"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2006-06-02 856064]

"TpShocks"="TpShocks.exe" [2006-03-15 106496]

"EPGServiceTool"="c:\progra~1\WinTV\EPG Services\System\EPGClient.exe" [2008-05-15 688128]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-29 61440]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-02-15 141608]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-02-17 177472]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"TrojanScanner"="c:\programme\Trojan Remover\Trjscan.exe" [2010-07-05 1167296]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\

AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2008-10-3 110647]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLOG]

2006-05-25 16:13        208896        -c--a-w-        c:\progra~1\ThinkPad\UTILIT~1\BATLOGEX.DLL
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRMGRTR]

2006-05-25 16:13        151552        ----a-w-        c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Last.fm\\LastFM.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\kav\\kav7.0\\english\\setup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\PPStream\\update\\ppstreamsetup-update090811.exe"=

"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

"c:\\Programme\\Valve\\Steam\\SteamApps\\fried78\\counter-strike source\\hl2.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:UDP"= 5353:UDP:*:Disabled:Bonjour

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.08.2009 13:13 108289]

R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [03.10.2008 13:48 437248]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.12.2009 20:09 135664]

S3 esgiguard;esgiguard;\??\c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys [?]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [26.11.2007 12:28 1527900]

S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [03.10.2008 13:47 823296]

S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [03.10.2008 12:26 560640]

S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [03.10.2008 12:26 15616]

S3 ovt530;Webcam Classic;c:\windows\system32\Drivers\ov530vid.sys --> c:\windows\system32\Drivers\ov530vid.sys [?]

S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [26.11.2007 12:28 544768]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.11.2009 13:55 691696]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

vvdsvc        REG_MULTI_SZ           vvdsvc

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
 

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-08 18:08]
 

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-08 18:08]
 

2010-10-03 c:\windows\Tasks\PMTask.job

- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-09-18 16:13]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com/

mStart Page = about:blank

uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s

IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

.

.

------- Dateityp-Verknüpfung -------

.

.txt=

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKU-Default-Run-brastk - c:\windows\system32\brastk.exe

SafeBoot-TDSSrvdc.sys
 
 

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-2341941929-758128360-641812953-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50FC78EC-6400-0D3F-EA9C-2737BB367E0A}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"oapbpnchicbhfjpmjclbjpckppdoci"=hex:6a,61,6c,6f,6d,67,64,67,68,62,66,63,67,6f,

   6c,6d,70,62,69,61,00,54

"nafcfdmmepoocpnhnckcbjpfnnod"=hex:6a,61,6c,6f,6d,67,64,67,68,62,66,63,67,6f,

   6c,6d,70,62,69,61,00,54
 

[HKEY_USERS\S-1-5-21-2341941929-758128360-641812953-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:d4,be,28,9f,af,4a,fd,82,b8,d0,41,c8,be,db,c4,8e,9d,5f,4e,36,78,01,59,

   f9,a0,3d,59,9c,3f,e9,65,a7,89,4c,12,4f,5f,75,0d,db,f6,d9,51,4b,86,c5,a4,39,\

"??"=hex:cf,a2,36,81,f9,34,8e,94,b4,69,fc,5f,51,dd,ff,7b

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(908)

c:\windows\system32\Ati2evxx.dll
 

- - - - - - - > 'explorer.exe'(220)

c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\TpShocks.exe

c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\windows\System32\TPHDEXLG.EXE

c:\windows\system32\TpKmpSVC.exe

c:\windows\system32\wscntfy.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-10-11  12:41:15 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-10-11 10:41
 

Vor Suchlauf: 5.886.349.312 Bytes frei

Nach Suchlauf: 5.799.415.808 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - 60F207DE79B28CCE5F10C4A2DA6DB1BA

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Reglockdel::

[HKEY_USERS\S-1-5-21-2341941929-758128360-641812953-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50FC78EC-6400-0D3F-EA9C-2737BB367E0A}*]
 

NetSvc::

vvdsvc

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ich glaube, ich habe einen Fehler gemacht, weiß aber nicht ob der Auswirkungen hat.
Wusste nicht was du mit Notepad meinst, habe es gegoogelt und bin auf den Texteditor hxxp://www.chip.de/downloads/Notepad_12996935.html gestoßen.
Den habe ich runtergeladen und:

"Reglockdel::
[HKEY_USERS\S-1-5-21-2341941929-758128360-641812953-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50FC78EC-6400-0D3F-EA9C-2737BB367E0A}*]

NetSvc::
vvdsvc"

eingefügt, als CFScript.txt gespeichert und auf Combofix gezogen. Combofix hat noch einen Scan durchgeführt. Der Aufruf zum Neustart ist nicht erfolgt. Es kam gleich der Bericht den ich hier angefügt habe. Falls ich etwas falsch gemacht habe bitte ich um Verzeihung.

Viele Grüße,

St Georg

Zitat:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

Das war schon richtig. Hättest Du aber aufmerksam gelesen, hättest Du gemerkt, dass Windows so einen einfachen Editor selbst hat. Der nennt sich "notepad.exe" und die solltest Du starten über Start / Ausführen

mach das bitte nochmal, denn das was ich über das CFScript.txt fixen wollte ist immer noch da.

Hier das neue Log. Ich habe wie man sieht kürzlich meinen Canon Drucker (pixma iP4700) installiert.

Der KRam steht da immer noch drin. :balla:
Bist Du sicher, dass Du meinen Text aus der Codebox 1:1 in die CFScript.txt kopiert und diese auch so abgespeichert hast?

Das ist ein hartneckiger Mist. Ich habe genau das darein kopiert und gespeichert:

Reglockdel::
[HKEY_USERS\S-1-5-21-2341941929-758128360-641812953-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50FC78EC-6400-0D3F-EA9C-2737BB367E0A}*]

NetSvc::
vvdsvc

Dann erstmal Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Anbei schonmal der Gmer Bericht, Ich mache morgen den Scan mit Osam, dass ich über den Link noch nicht runterladen konnte, mache es morgen früh. Gute Nacht und vielen Dank für die unermüdliche Hilfe!

Georg

Hier ist ein Link zu OSAM => File-Upload.net - osam.zip

Hallo Arne, ich habe osam ausgeführt, beim online maleware scanner kam:

connecting to OMS Base: OK
checking protocol version: OK
getting server configuration: OK
collecting hashes: OK
waiting for server analyse request: FAILED

Ich bin dennoch auf "save log" gegangen, das Resultat hier:

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

Online Solutions. Complex Protection for Information Systems

Saved at 14:44:12 on 20.10.2010
 

OS: Windows XP Professional Service Pack 3 (Build 2600)

Default Browser: Opera Software Opera Internet Browser 10.62
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"PMTask.job" - ? - C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE  (File found, but it contains no detailed information)
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

"TP98.CPL" - "Lenovo Group Limited" - C:\WINDOWS\system32\TP98.CPL

"TpShCPL.cpl" - "Lenovo, Ltd. and IBM Corporation." - C:\WINDOWS\system32\TpShCPL.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"Beep" (Beep) - ? - C:\WINDOWS\system32\drivers\Beep.sys  (File not found)

"catchme" (catchme) - ? - C:\DOKUME~1\JDL\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"esgiguard" (esgiguard) - ? - C:\Programme\Enigma Software Group\SpyHunter\esgiguard.sys  (File not found)

"Huawei DataCard USB Modem and USB Serial" (hwdatacard) - "Huawei Technologies Co., Ltd." - C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PPdus ASPI Shell" (Afc) - "Arcsoft, Inc." - C:\WINDOWS\System32\drivers\Afc.sys

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"ShockMgr" (ShockMgr) - "Lenovo." - C:\WINDOWS\system32\drivers\ShockMgr.sys

"Shockprf" (Shockprf) - "Lenovo" - C:\WINDOWS\system32\drivers\Shockprf.sys

"Smapint" (Smapint) - "Microsoft Corporation" - C:\WINDOWS\System32\drivers\Smapint.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"TDSMAPI" (TDSMAPI) - ? - C:\WINDOWS\System32\drivers\TDSMAPI.SYS  (File found, but it contains no detailed information)

"TPPWRIF" (TPPWRIF) - ? - C:\WINDOWS\System32\drivers\Tppwrif.sys  (File found, but it contains no detailed information)

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

"Webcam Classic" (ovt530) - ? - C:\WINDOWS\System32\Drivers\ov530vid.sys  (File not found)
 

[Explorer]

-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)

{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)

{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "Shell Extensions for RealOne Player" - ? -   (File not found | COM-object registry key not found)

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll

{738D66C6-0149-4D40-84E4-A7BB2D0CE949} "Sony Ericsson Datei-Manager" - ? -   (File not found | COM-object registry key not found)

{52B87208-9CCF-42C9-B88E-069281105805} "Trojan Remover Shell Extension" - ? -   (File not found | COM-object registry key not found)

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----

{21347690-EC41-4F9A-8887-1F4AEE672439} "Canon Easy-WebPrint EX" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "Canon Easy-WebPrint EX" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll

<binary data> "DAEMON Tools Toolbar" - ? - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "{47833539-D0C5-4125-9FA8-0819E2EAAC93}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"PokerStars" - "PokerStars" - C:\Programme\PokerStars\PokerStarsUpdate.exe

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} "Canon Easy-WebPrint EX" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll

<binary data> "DAEMON Tools Toolbar" - ? - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll

{327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{3785D0AD-BFFF-47F6-BF5B-A587C162FED9} "Canon Easy-WebPrint EX BHO" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexbho.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"AutoStart IR.lnk" - "Hauppauge Computer Works" - C:\Programme\WinTV\Ir.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\JDL\Startmenü\Programme\Autostart\desktop.ini

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"CanonMyPrinter" - "CANON INC." - C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon

"CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon

"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

"EZEJMNAP" - "Lenovo Group Limited" - C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"

"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

"TPKMAPHELPER" - "Lenovo" - C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper

"TpShocks" - "Lenovo, Ltd. and IBM Corporation." - TpShocks.exe
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe

"EPGService" (EPGService) - "Hauppauge Computer Works" - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe

"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"HauppaugeTVServer" (HauppaugeTVServer) - "Hauppauge Computer Works" - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)

"IBM KCU Service" (TpKmpSVC) - ? - C:\WINDOWS\system32\TpKmpSVC.exe  (File found, but it contains no detailed information)

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"Nero BackItUp Scheduler 4.0" (Nero BackItUp Scheduler 4.0) - ? - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe  (File not found)

"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)

"PnkBstrB" (PnkBstrB) - ? - C:\WINDOWS\system32\PnkBstrB.exe  (File found, but it contains no detailed information)

"ThinkPad HDD APS Logging Service" (TPHDEXLGSVC) - "Lenovo." - C:\WINDOWS\System32\TPHDEXLG.EXE

"UPnPService" (UPnPService) - "Magix AG" - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

"VJVodServices" (vvdsvc) - ? - C:\WINDOWS\system32\Nagasoft\vjocx.dll

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit Online Solutions :: Index

Die Online-DB hat öfter Macken, die brauch ich aber eh nicht, nur das reine Log.
Hast das Log von mbrcheck schon?

Hier der Mbrcheck :abklatsch:

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Hallo Arne,

leider gehöre ich zu der Spezies Computertrottel,
mein Bootmenü habe ich noch nie gestartet und bin jetzt bei meinem ersten Versuch schnell gestrandet. Ich habe einen Lenovo T60, manchmal habe ich das Gefühl bei meinem Labtop ist alles anders als bei herkömmlichen Geräten und es ist fast unmöglich irgendwo eine Erklärung zu finden wie man bei dem Teil zur Wiederherstellungskonsole kommt. Es gibt da diesen ThinkVantage Butten, der führt einen z.B. zur BIOS Konfiguration oder zu "Rescue and Recovery", letzteres ist nach meiner Vermutung vielleicht das Bootmenü, allerdings habe ich da nur rausgefunden, dass man da eine Systemwiederherstellung machen kann, wobei meistens ein Datenträger verlangt wird auf dem eine Sicherungskopie ist (die ich leider nicht habe) oder man eine komplette Systemwiederherstellung machen kann (leider bin ich auch da schlecht aufgestellt, weil mir eine von fünf Wiederherstellungs CD's fehlt).

Ein Menü in das ich Befehle eingeben kann, habe ich bei "Rescue und Recovery" überhaupt nicht gefunden.
Brauche ich eine Systemsicherungskopie oder CD's? Wenn nein, weißt du vielleicht wie ich zur Wiederherstellungskonsole gelange, bin ich da bei "Rescue und Recovery" richtig? Hab Dank für deine große Geduld!

Viele Grüße,

Georg

Du hast beim Windows-Start 2 Sekunden Zeit, es wird Die ein Auswahlmenü angezeigt, ob du die Wiederherstellungskonsole oder Windows normal starten willst.

http://3.bp.blogspot.com/_Egsn_OBVha...le-startup.gif

Komme jetzt in die Wiederherstellungskonsole rein, alledings kann ich keine Befehle eingeben. Dort steht nur :

NTLDR is compressed
Press Ctrlt + Alt + Del to restart
-

Hab bei Chip gelesen, man müsste die Windows CD verwenden, aber heißt das nicht einfach, dass die Festplatte zu voll ist?

Viele Grüße,

Georg

Die Meldung kenn ich garnicht.
Du kannst die Wiederherstellungskonsole aber auch von der Windows-CD starten.