Infizierte Registrierungsschlüssel gefunden ?!?
 

Hallo Profis,

nachdem unser zweiter Clientrechner immer langsamer geworden ist und teilweise nicht nachvollziehbare Aktionen ausführt, habe ich Malwarebytes scannen lassen. Folgendes Ergebnis kam dabei heraus. Was soll oder muß ich denn nun machen?


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5125

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.11.2010 15:28:15
mbam-log-2010-11-16 (15-28-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 323976
Laufzeit: 54 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Vielen Dank für eure Hilfe.

Wurde noch mehr gefunden von Malwarebytes oder nur das?

Nein nur das was im Log steht. Soll ich noch mit was anderem suchen?

Ich frag nur nach, weil manche mehrere Scans mit MBAM machen und dann nur das letzte Log posten, häufig das ohne Funde und die Logs mit Funden, die ja wichtiger sind, werden weggelassen ;)

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hier die Berichte :OTL Logfile:
--- --- ---



OTL Logfile:
--- --- ---

Sry hab deinen Strang übersehen :stirn:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo und danke das du gleich geschaut hast. Hier das Protokoll :



All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2FABA104 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0016FDDE deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: admin
->Temp folder emptied: 222 bytes

User: Administrator
->Temp folder emptied: 0 bytes

User: All Users

User: bs
->Temp folder emptied: 231467 bytes
->Flash cache emptied: 300 bytes

User: Default User
->Temp folder emptied: 0 bytes

User: DHKAdmin
->Temp folder emptied: 3103238 bytes

User: fm
->Temp folder emptied: 2470591 bytes
->Java cache emptied: 106006 bytes
->Flash cache emptied: 7970 bytes

User: gm
->Temp folder emptied: 53338 bytes

User: Klaudia
->Temp folder emptied: 613 bytes

User: km
->Temp folder emptied: 400304960 bytes
->Java cache emptied: 69536938 bytes
->Flash cache emptied: 1569097 bytes

User: LocalService
->Temp folder emptied: 82513 bytes

User: mg
->Temp folder emptied: 284291169 bytes
->Java cache emptied: 2345961 bytes
->Flash cache emptied: 6021 bytes

User: NetworkService
->Temp folder emptied: 0 bytes

User: pl
->Temp folder emptied: 291994 bytes
->Java cache emptied: 7618431 bytes
->Flash cache emptied: 21015 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 56517725 bytes
RecycleBin emptied: 12089 bytes

Total Files Cleaned = 790,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 11232010_220119

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\km\Lokale Einstellungen\Temp\PDFIEHelper.log moved successfully.
File\Folder C:\Dokumente und Einstellungen\km\Lokale Einstellungen\Temp\~DF39D0.tmp not found!
File\Folder C:\Dokumente und Einstellungen\km\Lokale Einstellungen\Temp\~DF39E0.tmp not found!
File\Folder C:\Dokumente und Einstellungen\km\Lokale Einstellungen\Temp\~DF3A43.tmp not found!
File\Folder C:\Dokumente und Einstellungen\km\Lokale Einstellungen\Temp\~DF3A53.tmp not found!
File\Folder C:\Dokumente und Einstellungen\km\Lokale Einstellungen\Temp\~DF3AFA.tmp not found!
File\Folder C:\Dokumente und Einstellungen\km\Lokale Einstellungen\Temp\~DF3B12.tmp not found!
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_114.dat not found!

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Danke für die Anleitung. Werde ich heute Abend gleich so bearbeiten.

Hier ist der Bericht nach deiner Anleitung :

Combofix Logfile:
--- --- ---

Norton Internet Securitry ist so nötig wie Kropf. Ich würds umgehend deinstallieren.
Sag Bescheid wenns weg ist.

Blöd denn ich habe erst das Abo verlängert. Das haben wir auf allen 3 PC's drauf. Was empfielst du denn als Alternative. Wie sollen wir uns schützen?

P.S. Auf dem Server ist Sophos.

Irgendwas auf jeden Fall ohne zusätzlichen Paketfilter (Firewall) - ist das ein Privatrechner oder gewerblich genutzer PC?

Beides - Privat und Geschäft. Die wichtigen Daten werden alle auf dem Sérver abgespeichert.

Ok. Wenn du nicht mehr als 10 Rechner hast, kannst du Microsoft Security Essentials auch auf gewerblichen PCs, also auch bei nicht reinem privaten Einsatz, verwenden. Auch Windows-Server dürfen damit bestückt werden, solange es keine Enterprise Windows-Server (Standard Edition oder SBS wäre lt. EULA legal) - wie auch immer, du darfst um völlig legal zu bleiben, MSSE nicht auf mehr als 10 Rechnern installiert haben (als max. 9 Clients bei 1 Windows-Server)

Also der Server ist SBS 2003 - 4 Clients alle XP Prof.
Welchen Vorteil hätte das umsteigen auf den Microsoft-Schutz? Ich dachte immer der Schutz gegen Viren etc. ist nicht gut genug von MS und man braucht auf alle Fälle irgend eine Zusatzsoftware? Lag ich da immer falsch? :pfeiff:

Kostenlos und genauso gut oder schlecht wie andere Virenscanner.

Ja :D

Also dann kann ich NIS ja jetzt noch auslaufen lassen und dann umsteigen.

Wie stehts eigentlich um den Rechner? Ist er nun sauber, oder muß ich ihn entsorgen? :rolleyes:

Naja, an NIS ist besonders die Firewallkomponente kritisch zu betrachten. Aber wenn du NIS erstmal behalten willst, du hast es ja erst verlängert.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier die Log's :

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-12-01 19:46:45
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 ST3160023AS rev.8.12
Running: GMER.exe; Driver: C:\DOKUME~1\km\LOKALE~1\Temp\pxtdapoc.sys


---- System - GMER 1.0.15 ----

Code \??\C:\DOKUME~1\km\LOKALE~1\Temp\catchme.sys pIofCallDriver

---- Devices - GMER 1.0.15 ----

Device Ntfs.sys (NT File System Driver/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- EOF - GMER 1.0.15 ----




OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru





MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000409fc

Kernel Drivers (total 148):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7B12000 \WINDOWS\system32\KDCOM.DLL
0xF7A22000 \WINDOWS\system32\BOOTVID.dll
0xF74E2000 ACPI.sys
0xF7B14000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74D1000 pci.sys
0xF7612000 isapnp.sys
0xF7BDA000 pciide.sys
0xF7892000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7622000 MountMgr.sys
0xF74B2000 ftdisk.sys
0xF7B16000 dmload.sys
0xF748C000 dmio.sys
0xF789A000 PartMgr.sys
0xF7632000 VolSnap.sys
0xF7474000 atapi.sys
0xF7642000 disk.sys
0xF7652000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7454000 fltmgr.sys
0xF73FE000 SYMDS.SYS
0xF73EC000 sr.sys
0xF73BF000 SYMEFA.SYS
0xF73A9000 drvmcdb.sys
0xF78A2000 PxHelp20.sys
0xF7392000 KSecDD.sys
0xF7305000 Ntfs.sys
0xF72D8000 NDIS.sys
0xF72BE000 Mup.sys
0xF7762000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7120000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF710C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF70E4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7912000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF70C0000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF791A000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7772000 \SystemRoot\system32\DRIVERS\DLKRTGB.SYS
0xF7782000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7B30000 \SystemRoot\system32\drivers\sscdbhk5.sys
0xF7792000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF77A2000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF709D000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7C8C000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF77B2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7ACE000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7086000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF77C2000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF77D2000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7922000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7075000 \SystemRoot\system32\DRIVERS\psched.sys
0xF77E2000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF792A000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7932000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7045000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF77F2000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF793A000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7942000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7802000 \SystemRoot\system32\DRIVERS\SymIM.sys
0xF7B32000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6FBF000 \SystemRoot\system32\DRIVERS\update.sys
0xF7AEE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7812000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF4EAA000 \SystemRoot\system32\drivers\sthda.sys
0xF4E86000 \SystemRoot\system32\drivers\portcls.sys
0xF7852000 \SystemRoot\system32\drivers\drmk.sys
0xF7862000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B3C000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF727D000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B3E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7CD7000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B40000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7952000 \SystemRoot\system32\drivers\ssrtln.sys
0xF795A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7962000 \SystemRoot\System32\drivers\vga.sys
0xF7B42000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B44000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF796A000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7972000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7271000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF4E53000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF4DFA000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF4DA3000 \SystemRoot\System32\Drivers\NIS\1108000.005\SYMTDI.SYS
0xF4D7D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7882000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF4D58000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
0xF4CD8000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\IPSDefs\20101130.001\IDSxpx86.sys
0xF4CB0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF4C8E000 \SystemRoot\System32\drivers\afd.sys
0xF7672000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF4C6F000 \SystemRoot\system32\drivers\NIS\1108000.005\Ironx86.SYS
0xF798A000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7AB6000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7692000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7992000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys
0xF76A2000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xF4BF4000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
0xF7AC2000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF7AC6000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF799A000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys
0xF79A2000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF76B2000 \SystemRoot\system32\drivers\NIS\1108000.005\SRTSPX.SYS
0xF4BC9000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF4B59000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF76C2000 \SystemRoot\System32\Drivers\Fips.SYS
0xF4AFB000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
0xF4ADE000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
0xF4A5F000 \SystemRoot\system32\drivers\NIS\1108000.005\ccHPx86.sys
0xF49B3000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\BASHDefs\20101104.001\BHDrvx86.sys
0xF76F2000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF4973000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B54000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6FA7000 \SystemRoot\System32\drivers\Dxapi.sys
0xF79D2000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7CE8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF049000 \SystemRoot\System32\ati2cqag.dll
0xBF07D000 \SystemRoot\System32\atikvmag.dll
0xBF0B2000 \SystemRoot\System32\ati3duag.dll
0xBF2F4000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF7702000 \SystemRoot\system32\drivers\drvnddm.sys
0xF7C92000 \SystemRoot\system32\dla\tfsndres.sys
0xF281D000 \SystemRoot\system32\dla\tfsnifs.sys
0xF28A7000 \SystemRoot\system32\dla\tfsnopio.sys
0xF7BC0000 \SystemRoot\system32\dla\tfsnpool.sys
0xF78B2000 \SystemRoot\system32\dla\tfsnboio.sys
0xF7712000 \SystemRoot\system32\dla\tfsncofs.sys
0xF7CA2000 \SystemRoot\system32\dla\tfsndrct.sys
0xF2804000 \SystemRoot\system32\dla\tfsnudf.sys
0xF27EB000 \SystemRoot\system32\dla\tfsnudfa.sys
0xF2853000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF258E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7CE5000 \SystemRoot\System32\Drivers\LBeepKE.sys
0xF2216000 \SystemRoot\system32\DRIVERS\srv.sys
0xF1E4F000 \SystemRoot\System32\Drivers\NIS\1108000.005\SRTSP.SYS
0xF1B98000 \SystemRoot\system32\drivers\wdmaud.sys
0xF244E000 \SystemRoot\system32\drivers\sysaudio.sys
0xF15F8000 \SystemRoot\System32\Drivers\HTTP.sys
0xF794A000 \??\C:\DOKUME~1\km\LOKALE~1\Temp\catchme.sys
0xF7B38000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xF28CB000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xF0C37000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\VirusDefs\20101201.003\NAVEX15.SYS
0xF0C23000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\VirusDefs\20101201.003\NAVENG.SYS
0xF0BE0000 \??\C:\DOKUME~1\km\LOKALE~1\Temp\pxtdapoc.sys
0xF0BB5000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
0 System Idle Process
4 System
828 C:\WINDOWS\system32\smss.exe
876 csrss.exe
916 C:\WINDOWS\system32\winlogon.exe
960 C:\WINDOWS\system32\services.exe
972 C:\WINDOWS\system32\lsass.exe
1180 C:\WINDOWS\system32\ati2evxx.exe
1200 C:\WINDOWS\system32\svchost.exe
1296 svchost.exe
1420 C:\WINDOWS\system32\svchost.exe
1488 svchost.exe
1672 svchost.exe
1764 C:\WINDOWS\system32\spoolsv.exe
1872 svchost.exe
1964 C:\Programme\Canon\Vdc\AuVdc.exe
1992 C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\dlsdbnt.exe
276 C:\Programme\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe
460 C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\dlpwdnt.exe
2436 alg.exe
564 C:\Programme\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe
2696 C:\WINDOWS\stsystra.exe
3132 C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
3228 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
164 C:\WINDOWS\system32\dla\tfswctrl.exe
3316 C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\dlpsp.exe
3424 C:\Programme\Dell Printers\Additional Color Laser Software\Updater\dlupdr.exe
3540 C:\WINDOWS\system32\ctfmon.exe
3708 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
1240 C:\Programme\Logitech\SetPoint\SetPoint.exe
3076 C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
3836 C:\WINDOWS\explorer.exe
1816 C:\Programme\Internet Explorer\iexplore.exe
416 C:\Programme\Internet Explorer\iexplore.exe
3004 C:\WINDOWS\system32\wscntfy.exe
1228 C:\WINDOWS\system32\svchost.exe
1548 C:\Programme\WinZip\WZQKPICK.EXE
452 C:\Programme\Internet Explorer\iexplore.exe
3480 C:\Dokumente und Einstellungen\km\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`03ec1000 (NTFS)

PhysicalDrive0 Model Number: ST3160023AS, Rev: 8.12

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Dell MBR code detected
SHA1: 84B95CE8A54B7C5C3AAF149934FC46FB70FF8365


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier die Log's :




SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/01/2010 at 10:26 PM

Application Version : 4.46.1000

Core Rules Database Version : 5937
Trace Rules Database Version: 3749

Scan type : Complete Scan
Total Scan Time : 00:56:17

Memory items scanned : 603
Memory threats detected : 0
Registry items scanned : 6374
Registry threats detected : 0
File items scanned : 82171
File threats detected : 1

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\km\Cookies\km@doubleclick[1].txt





Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5214

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.12.2010 21:09:19
mbam-log-2010-12-01 (21-09-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 297321
Laufzeit: 35 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

So ganz aktuell war MBAM dann aber doch nicht :pfeiff:

Hallo, nein soweit keine weiteren Funde. Das Herunterfahren funktioniert auch wieder einwandfrei. Vor der Bereinigung machte er nach dem ersten Klick auf 'Herunterfahren' irgend etwas, aber erst mit dem 2ten Anlauf klappte es.
Jetzt wie es sein soll.

:dankeschoen: :dankeschoen: :dankeschoen:

Dann sollte ich nur noch überlegen ob ich NIS runterschmeiße oder nicht, richtig?

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

habe alles so erledigt. Das einzige zusätzliche Tool was installiert wurde ist PDF Suite. Dann sollte alles erledigt sein. :party:

Werde mich nun an die ganzen Passwörter machen, sind ja nur ein paar . . . .

:taenzer:

Kann ich zur Prüfung AntiSpyware über alle Rechner laufen lassen? Oder mit was prüfe ich die am besten?

Grüße Frank