Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert! (https://www.trojaner-board.de/95141-trojan-downloader-win32-geral-zvj-system-kompromittiert.html)

BMX-er 28.01.2011 12:04
Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert!
 
Moin,

Ich weiß, wie Ihr zu solchen Systemen steht!
Dennoch würde ich gerne mal probieren den PC zu bereinigen. Nicht unbedingt um die Installation zu retten, ich würde es nur gerne mal durchspielen. (Wenn es euch nicht zu aufwendig ist)
Sollte es keinen Sinn machen, formatiere ich sofort und beherzige beim neu aufsetzen eure Installationsanweisungen.

Mit der Kaspersky Rescue Disc habe ich eine Bereinigung durchgeführt.

Anhang 12856

Das sah zwar gut aus, aber der Trojaner aktiviert sich irgendwann wieder.

Hier die Log-Files:

Defogger Anhang 12857
GMER Anhang 12858
MBAM nach Bereinigung durch KRD! Anhang 12859
OTL Anhang 12860 Anhang 12861

cosinus 28.01.2011 19:59
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

BMX-er 29.01.2011 11:34
Moin,

Leider habe ich kein MBAM-log, in dem alle Funde protokolliert sind. In diesen beiden Logs sind nur die Funde zusehen, nachdem sich der Trojaner reaktiviert hat.
Anhang 12901
Anhang 12902

Das vollständige Kaspersky-log hat deutlich mehr zu bieten.
Anhang 12904

Einen neuen Administrator habe ich bereits angelegt und dem alten die Berechtigungen genommen (ist nur noch ein Gast). Seid dem scheint der Trojaner sich nicht wieder zu aktivieren. Ich war mal etwas waghalsig und habe mit dem alten Admin alle möglichen Programme gestartet. MBAM finden im Moment nix.
Anhang 12903

cosinus 30.01.2011 13:34
Zitat:
D:/Dokumente und Einstellungen/Admin/Desktop/IllustratorCS5.zip
Was genau ist das und aus welcher Quelle stammt es?

BMX-er 30.01.2011 16:40
Moin,

das ist eine 30 Tage Testversion, von Softonic.
Quelle: hxxp://www.softonic.de/s/illustrator

Es ist übrigens der PC eines Freundes, der mich gebeten hat ihn zu bereinigen.
Ich war auch nicht glücklich, als ich dass gesehen habe. Er hat sich dort auch das gesammte "Packet" abgeholt. Damit meine ich:
Illustrator_Downloader.exe
Illustrator.zip
sowie die Softonic-TB in den IE und Firefox integriert. :headbang:

Den gesammten Krempel habe ich softort gelöscht und Ihm Inkscape (Open Source) installiert.

Die Software illegal zu nutzen, traue ich Ihm aber nicht zu. Trau Ihm nichtmal zu, dass er das könnte.

cosinus 30.01.2011 20:21
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

BMX-er 31.01.2011 13:33
Oh, Oh!

Da hast du mich voll erwischt! Ich bin auch so'n Depp, der glaubt mit seinem Halbwissen was anstellen zu können.
ComboFix habe ich bereits ausgeführt, bevor du es sagtest. Ich Ohrfeige mich dafür mal selbst. :aufsmaul:

Tut mir echt leid, kommt nie wieder vor!

Wenigsten habe ich vorher die Anleitungen gelesen und es weitestgehend so gemacht, wie du sagtest. ComboFix habe ich aber beim Download nicht umbenannt.

Code:
ComboFix 11-01-24.02 - Speedy 25.01.2011  11:01:35.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1024.735 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Speedy\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\install.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-12-25 bis 2011-01-25  ))))))))))))))))))))))))))))))
.

2011-01-25 08:27 . 2009-11-12 12:48        7168        ----a-w-        c:\windows\system32\drivers\StarOpen.sys
2011-01-25 00:24 . 2011-01-25 00:24        --------        d-----w-        d:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2011-01-25 00:24        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-25 00:24 . 2011-01-25 01:30        --------        d-----w-        d:\programme\Malwarebytes' Anti-Malware
2011-01-25 00:24 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-01-24 20:36 . 2011-01-24 22:12        --------        d-----w-        d:\dokumente und einstellungen\Kidz
2011-01-24 18:41 . 2011-01-25 09:49        --------        d-----w-        d:\dokumente und einstellungen\Speedy
2011-01-24 18:16 . 2011-01-24 18:16        --------        d-----w-        d:\dokumente und einstellungen\Admin\Anwendungsdaten\inkscape
2011-01-24 18:11 . 2011-01-24 18:15        --------        d-----w-        d:\programme\Inkscape
2011-01-24 15:52 . 2011-01-24 15:52        --------        d-----w-        d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 13:49 . 2010-10-05 19:26        109240        ----a-w-        d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-01-24 13:49 . 2010-10-05 19:27        150200        ----a-w-        d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-01-24 13:49 . 2011-01-24 14:00        97859        ----a-w-        c:\windows\system32\drivers\klick.dat
2011-01-24 13:49 . 2011-01-24 14:00        114243        ----a-w-        c:\windows\system32\drivers\klin.dat
2011-01-24 13:48 . 2011-01-25 10:07        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2011-01-24 13:48 . 2011-01-24 13:48        --------        d-----w-        d:\programme\Kaspersky Lab
2011-01-24 12:30 . 2011-01-24 12:30        --------        d-----w-        d:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 11:04 . 2011-01-24 11:04        --------        d-----w-        d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Research In Motion
2011-01-24 10:58 . 2008-11-07 17:55        16928        ------w-        c:\windows\system32\spmsgXP_2k3.dll
2011-01-20 15:51 . 2011-01-23 11:26        --------        d-----w-        d:\programme\Panda Security
2011-01-09 09:46 . 2011-01-23 11:43        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-01-09 09:46 . 2011-01-23 11:41        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\REPORTS
2011-01-09 09:46 . 2011-01-23 11:41        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\LOGFILES
2011-01-09 09:46 . 2011-01-09 09:46        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\INFECTED
2011-01-03 19:15 . 2011-01-03 19:16        --------        d-----w-        d:\programme\Gemeinsame Dateien\Adobe
2011-01-03 18:52 . 2011-01-25 01:15        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:38 . 2010-11-29 16:38        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38        69632        ----a-w-        c:\windows\system32\QuickTime.qts
.

------- Sigcheck -------

[-] 2009-10-15 . 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-10-15 . 91748F4D122DCA4CF7A9D621CDD02345 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="d:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 102400]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 11:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]
S1 DumpDrv;Crash Dump Driver; [x]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows\System32\svchost.exe -k WinRM [15.10.2009 12:42 14848]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HELPSVC
*NewlyCreated* - WUAUSERV

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM        REG_MULTI_SZ          WINRM
.
Inhalt des "geplante Tasks" Ordners

2011-01-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
FF - ProfilePath - d:\dokumente und einstellungen\Speedy\Anwendungsdaten\Mozilla\Firefox\Profiles\3bcvepj4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.heise.de
FF - Ext: Anti-Banner: KavAntiBanner@Kaspersky.ru - d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Modul zur Link-Untersuchung: linkfilter@kaspersky.ru - d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
Toolbar-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-25 11:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(752)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
d:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
d:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
d:\programme\Bonjour\mDNSResponder.exe
d:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wscntfy.exe
d:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-25  11:13:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-25 10:13

Vor Suchlauf: 3 Verzeichnis(se), 14.664.806.400 Bytes frei
Nach Suchlauf: 4 Verzeichnis(se), 14.552.444.928 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30

- - End Of File - - BBFCF865F299C990B87E15690222D69A
Und nu der dicke Hund! Ich hab es bereits zweimal laufen lassen. :stirn:

Code:
ComboFix 11-01-24.02 - Speedy 25.01.2011  20:24:35.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1024.695 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Speedy\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-12-25 bis 2011-01-25  ))))))))))))))))))))))))))))))
.

2011-01-25 08:27 . 2009-11-12 12:48        7168        ----a-w-        c:\windows\system32\drivers\StarOpen.sys
2011-01-25 00:24 . 2011-01-25 00:24        --------        d-----w-        d:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2011-01-25 00:24        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-25 00:24 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-25 00:24 . 2011-01-25 01:30        --------        d-----w-        d:\programme\Malwarebytes' Anti-Malware
2011-01-25 00:24 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-01-24 20:36 . 2011-01-24 22:12        --------        d-----w-        d:\dokumente und einstellungen\Kidz
2011-01-24 18:41 . 2011-01-25 18:16        --------        d-----w-        d:\dokumente und einstellungen\Speedy
2011-01-24 18:16 . 2011-01-24 18:16        --------        d-----w-        d:\dokumente und einstellungen\Admin\Anwendungsdaten\inkscape
2011-01-24 18:11 . 2011-01-24 18:15        --------        d-----w-        d:\programme\Inkscape
2011-01-24 15:52 . 2011-01-24 15:52        --------        d-----w-        d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 13:49 . 2010-10-05 19:26        109240        ----a-w-        d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-01-24 13:49 . 2010-10-05 19:27        150200        ----a-w-        d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-01-24 13:49 . 2011-01-24 14:00        97859        ----a-w-        c:\windows\system32\drivers\klick.dat
2011-01-24 13:49 . 2011-01-24 14:00        114243        ----a-w-        c:\windows\system32\drivers\klin.dat
2011-01-24 13:48 . 2011-01-25 19:11        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2011-01-24 13:48 . 2011-01-24 13:48        --------        d-----w-        d:\programme\Kaspersky Lab
2011-01-24 12:30 . 2011-01-24 12:30        --------        d-----w-        d:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2011-01-24 11:04 . 2011-01-24 11:04        --------        d-----w-        d:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Research In Motion
2011-01-24 10:58 . 2008-11-07 17:55        16928        ------w-        c:\windows\system32\spmsgXP_2k3.dll
2011-01-20 15:51 . 2011-01-23 11:26        --------        d-----w-        d:\programme\Panda Security
2011-01-09 09:46 . 2011-01-23 11:43        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-01-09 09:46 . 2011-01-23 11:41        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\REPORTS
2011-01-09 09:46 . 2011-01-23 11:41        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\LOGFILES
2011-01-09 09:46 . 2011-01-09 09:46        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\INFECTED
2011-01-03 19:15 . 2011-01-03 19:16        --------        d-----w-        d:\programme\Gemeinsame Dateien\Adobe
2011-01-03 18:52 . 2011-01-25 19:01        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:38 . 2010-11-29 16:38        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38        69632        ----a-w-        c:\windows\system32\QuickTime.qts
.

------- Sigcheck -------

[-] 2009-10-15 . 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-10-15 . 91748F4D122DCA4CF7A9D621CDD02345 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="d:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"avp"="d:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-11-02 365336]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 102400]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 11:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]
S1 DumpDrv;Crash Dump Driver; [x]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows\System32\svchost.exe -k WinRM [15.10.2009 12:42 14848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM        REG_MULTI_SZ          WINRM
.
Inhalt des "geplante Tasks" Ordners

2011-01-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
FF - ProfilePath - d:\dokumente und einstellungen\Speedy\Anwendungsdaten\Mozilla\Firefox\Profiles\3bcvepj4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.heise.de
FF - Ext: Anti-Banner: KavAntiBanner@Kaspersky.ru - d:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Modul zur Link-Untersuchung: linkfilter@kaspersky.ru - d:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-25 20:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2844)
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2011-01-25  20:31:50
ComboFix-quarantined-files.txt  2011-01-25 19:31

Vor Suchlauf: 3 Verzeichnis(se), 14.787.108.864 Bytes frei
Nach Suchlauf: 4 Verzeichnis(se), 14.779.666.432 Bytes frei

- - End Of File - - E5606AD6B4ECCE4C6E6CD1419A05D5B6
Seid dem habe ich ComboFix nicht noch mal gestartet. Hätte ich das getan, wäre das ja der dritte Start ohne Anleitung, da du von meinen ersten beiden waghalsigen Durchläufen ja nichts wusstest.
Hoffentlich habe ich Glück und es dadurch nicht schlimmer gemacht oder dir die Arbeit erschwert!

Nochmals, "Sorry that!"

cosinus 31.01.2011 14:14
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

BMX-er 31.01.2011 15:33
Moin,

hier die gewünschten Logfiles.

GMER - Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-31 14:56:18
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ExcelStor_Technology_J680 rev.V32OA60A
Running: g2m3e4r.exe; Driver: D:\Temp\uxtdypob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwAdjustPrivilegesToken [0xB6FAD5FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwClose [0xB6FADEFE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwConnectPort [0xB6FAED32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateEvent [0xB6FAF27C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateFile [0xB6FAE1DA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateKey [0xB6FAC46A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateMutant [0xB6FAF162]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateNamedPipeFile [0xB6FAD1E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreatePort [0xB6FAF036]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSection [0xB6FAD390]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSemaphore [0xB6FAF39C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateThread [0xB6FADB86]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateWaitablePort [0xB6FAF0CC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDebugActiveProcess [0xB6FB0A84]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteKey [0xB6FACA74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteValueKey [0xB6FACE28]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeviceIoControlFile [0xB6FAE65C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDuplicateObject [0xB6FB1C90]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateKey [0xB6FACF74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateValueKey [0xB6FAD00C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwFsControlFile [0xB6FAE46A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadDriver [0xB6FB0B76]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey [0xB6FAC446]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey2 [0xB6FAC458]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwMapViewOfSection [0xB6FB12DE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwNotifyChangeKey [0xB6FAD138]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenEvent [0xB6FAF312]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenFile [0xB6FADF80]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenKey [0xB6FAC62A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenMutant [0xB6FAF1F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenProcess [0xB6FAD836]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSection [0xB6FB1078]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSemaphore [0xB6FAF432]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenThread [0xB6FAD728]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryKey [0xB6FAD0A4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryMultipleValueKey [0xB6FACCDC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQuerySection [0xB6FB1618]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryValueKey [0xB6FAC906]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueueApcThread [0xB6FB0F0A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRenameKey [0xB6FACB96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplaceKey [0xB6FABE80]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyPort [0xB6FAF796]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyWaitReceivePort [0xB6FAF65C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRequestWaitReplyPort [0xB6FB081E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRestoreKey [0xB6FAC1F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwResumeThread [0xB6FB1B32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKey [0xB6FABE18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSecureConnectPort [0xB6FAEA78]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetContextThread [0xB6FADDA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetInformationToken [0xB6FB00BE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetSecurityObject [0xB6FB0D14]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetSystemInformation [0xB6FB1768]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetValueKey [0xB6FAC780]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendProcess [0xB6FB185A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendThread [0xB6FB1994]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSystemDebugControl [0xB6FB09A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateProcess [0xB6FAD9D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateThread [0xB6FAD932]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwUnmapViewOfSection [0xB6FB14BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwWriteVirtualMemory [0xB6FADABC]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!ZwYieldExecution + 1FA                                                    804E4A34 12 Bytes  [76, 0B, FB, B6, 46, C4, FA, ...]
.text          ntoskrnl.exe!ZwYieldExecution + 376                                                    804E4BB0 16 Bytes  [96, CB, FA, B6, 80, BE, FA, ...]
.text          ntoskrnl.exe!ZwYieldExecution + 3BE                                                    804E4BF8 4 Bytes  JMP FC4FB6FA
.text          ntoskrnl.exe!ZwYieldExecution + 46A                                                    804E4CA4 12 Bytes  [5A, 18, FB, B6, 94, 19, FB, ...]
.text          ntoskrnl.exe!IoIsOperationSynchronous                                                  804EAFAE 5 Bytes  JMP B6FA03C8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text          ntoskrnl.exe!FsRtlCheckLockForReadAccess                                              804F4593 5 Bytes  JMP B6F9FFEC \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\ipsec.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                [F7051D50] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                [F7051D50] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]                      [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\rspndr.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]                      [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]                [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice]                    [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT            \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]                  [F7051C00] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

---- EOF - GMER 1.0.15 ----
OSAM - Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:08:14 on 31.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - D:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"wuaucpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - D:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\system32\drivers\Aspi32.sys
"catchme" (catchme) - ? - D:\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Crash Dump Driver" (DumpDrv) - ? - C:\WINDOWS\system32\drivers\DumpDrv.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"TCP/IP-Protokolltreiber" (Tcpip) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\tcpip.sys
"uxtdypob" (uxtdypob) - ? - D:\Temp\uxtdypob.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - D:\Programme\7-Zip\7-zip.dll
{5F327514-6C5E-4d60-8F16-D07FA08A78ED} "Auto Update Property Sheet Extension" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - D:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -  (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
{CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - D:\Dokumente und Einstellungen\Speedy\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "D:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avp" - "Kaspersky Lab ZAO" - "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
"FreePDF Assistant" - "shbox.de" - D:\Programme\FreePDF_XP\fpassist.exe
"iTunesHelper" - "Apple Inc." - "D:\Programme\iTunes\iTunesHelper.exe"
"QuickTime Task" - "Apple Inc." - "D:\Programme\QuickTime\QTTask.exe" -atboottime

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatische Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - D:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - D:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jqs.exe
"Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
"NMSAccess" (NMSAccess) - ? - D:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"klogon" - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\klogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - D:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
MBRCheck -Logfile:
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0000003c

Kernel Drivers (total 120):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x80700000 \WINDOWS\system32\hal.dll
  0xF7C0C000 \WINDOWS\system32\KDCOM.DLL
  0xF7B1C000 \WINDOWS\system32\BOOTVID.dll
  0xF76BC000 ACPI.sys
  0xF7C0E000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF76AB000 pci.sys
  0xF770C000 isapnp.sys
  0xF7CD4000 pciide.sys
  0xF798C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF771C000 MountMgr.sys
  0xF768C000 ftdisk.sys
  0xF7C10000 dmload.sys
  0xF7666000 dmio.sys
  0xF7994000 PartMgr.sys
  0xF772C000 VolSnap.sys
  0xF764E000 atapi.sys
  0xF773C000 disk.sys
  0xF774C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF762E000 fltMgr.sys
  0xF761C000 sr.sys
  0xF7605000 KSecDD.sys
  0xF7578000 Ntfs.sys
  0xF754B000 NDIS.sys
  0xF775C000 uagp35.sys
  0xF7531000 Mup.sys
  0xF700F000 kl1.sys
  0xF77CC000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF6F00000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF6EEC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF6ED8000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF77DC000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7BA8000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF77EC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF79DC000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF77FC000 \SystemRoot\system32\DRIVERS\klmouflt.sys
  0xF79E4000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7BAC000 \SystemRoot\system32\DRIVERS\gameenum.sys
  0xF780C000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF781C000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF6E93000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF79EC000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xF782C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF6E05000 \SystemRoot\system32\drivers\smwdm.sys
  0xF6DE1000 \SystemRoot\system32\drivers\portcls.sys
  0xF783C000 \SystemRoot\system32\drivers\drmk.sys
  0xF7C18000 \SystemRoot\system32\drivers\aeaudio.sys
  0xF79F4000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF6DBD000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF79FC000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF7A04000 \SystemRoot\system32\DRIVERS\sisnic.sys
  0xF784C000 \SystemRoot\system32\DRIVERS\klim5.sys
  0xF7D0A000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7C1A000 \SystemRoot\System32\Drivers\RootMdm.sys
  0xF7A0C000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF785C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7BBC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6DA6000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF786C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF787C000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7A14000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF6D94000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF788C000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7A1C000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7A24000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF7A2C000 \SystemRoot\system32\DRIVERS\RimSerial.sys
  0xF6CC4000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF789C000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7C1C000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6C3E000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7BD8000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF78AC000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF78FC000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7C20000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB6F81000 \SystemRoot\system32\DRIVERS\klif.sys
  0xF6FEB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7D8B000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7C22000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7A4C000 \SystemRoot\System32\drivers\vga.sys
  0xF7C24000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7C26000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7A54000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7A5C000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF6FE7000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF7A64000 \SystemRoot\system32\DRIVERS\kl2.sys
  0xB6F26000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB6ECD000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB6EA7000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB6E7F000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF790C000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB6E5D000 \SystemRoot\System32\drivers\afd.sys
  0xF791C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB6E0A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB6D9A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF792C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF6CA8000 \SystemRoot\System32\Drivers\Aspi32.SYS
  0xF797C000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB6CE2000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7C34000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF6C16000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7A74000 \SystemRoot\System32\watchdog.sys
  0xBF9C6000 \SystemRoot\System32\drivers\dxg.sys
  0xF7E0B000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D8000 \SystemRoot\System32\ati2dvag.dll
  0xBFA0E000 \SystemRoot\System32\ati2cqag.dll
  0xBFA46000 \SystemRoot\System32\ati3duag.dll
  0xBFC14000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB6BD6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB6CFA000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0xB6946000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF7CA0000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB68A4000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB638F000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB69CA000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB60C8000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB5F85000 \SystemRoot\system32\drivers\kmixer.sys
  0xB5E55000 \??\D:\Temp\uxtdypob.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 26):
      0 System Idle Process
      4 System
    716 C:\WINDOWS\system32\smss.exe
    764 csrss.exe
    788 C:\WINDOWS\system32\winlogon.exe
    832 C:\WINDOWS\system32\services.exe
    844 C:\WINDOWS\system32\lsass.exe
    996 C:\WINDOWS\system32\svchost.exe
    1116 svchost.exe
    1156 C:\WINDOWS\system32\svchost.exe
    1300 svchost.exe
    1328 svchost.exe
    1500 C:\WINDOWS\system32\BRSVC01A.EXE
    1524 C:\WINDOWS\system32\BRSS01A.EXE
    1536 C:\WINDOWS\system32\spoolsv.exe
    1596 svchost.exe
    1632 D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    1684 D:\Programme\Bonjour\mDNSResponder.exe
    1744 D:\Programme\CDBurnerXP\NMSAccessU.exe
    484 alg.exe
    2436 C:\WINDOWS\system32\wscntfy.exe
    2452 C:\WINDOWS\explorer.exe
    2540 D:\Programme\FreePDF_XP\fpassist.exe
    2564 D:\Programme\iTunes\iTunesHelper.exe
    2880 D:\Programme\iPod\bin\iPodService.exe
    1772 D:\Dokumente und Einstellungen\Speedy\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`0092e600  (NTFS)

PhysicalDrive0 Model Number: ExcelStorTechnologyJ680, Rev: V32OA60A

      Size  Device Name          MBR Status
  --------------------------------------------
    76 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!
Ist es dir eigentlich lieber den Code zu posten oder ist es auch ok die Logs als Text-File anzuhängen, wie ich es anfangs gemacht habe?

Grüsse

cosinus 31.01.2011 16:00
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

BMX-er 31.01.2011 17:28
Hey,

das sieht gut aus! Dank dir ganz, ganz herzlich für deine Hilfe und dem gesammten Team für dieses hervorragende Board.

:dankeschoen:

MBAM habe ich heute Vormittag bereits laufen lassen. Denke mal das reicht, oder?
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5646

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31.01.2011 11:24:32
mbam-log-2011-01-31 (11-24-32).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 208312
Time elapsed: 58 minute(s), 58 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
SUPERAntiSpyware log
Code:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 01/31/2011 bei 04:53 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6305
Version der Spur-Datenbank : 4117

Scan Art      : kompletter Scann
Totale Scann-Zeit : 00:39:39

Gescannte Speicherelemente  : 387
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5883
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 47944
Erfasste Datei-Elemente  : 0

cosinus 31.01.2011 19:14
Oh schön, keine Funde! Rechner wieder ok, läuft wieder alles wie es soll?

BMX-er 31.01.2011 21:36
Moin, :daumenhoc

soweit sieht alles gut aus. Outlook kann nicht senden, da er das Passwort geändert hat, is klar. Word, Excel, Acrobat und Inkscape keine Probleme.
Online-Banking kann ich nicht testen, da es erst nach der Anmeldung aufgefallen ist. Ich hoffe mal er hat wirklich der Bank bescheid gesagt. Er hat zwar keine TAN's eingegeben aber die PIN sollte schon geändert werden, oder?

Beim Banking kam übrigen ein ungewöhnliches Fenster. Der Text im gebrochenem deutsch verfasst und "...scanne Vorgänge..."

Ich kann dem Account "Admin", zum Testen mal Administrations-Rechte geben. Als Gast hatte der Trojaner sich ja nicht wieder aktiviert. Dann noch mal scannen.

Das Firefox Add-on "NoScript" habe ich ihm noch installiert. Befürchte nur, das im das zu kompliziert ist. :lach: Ich bin damit sehr glücklich das kann einen ne menge ärger ersparen.

Windows und IE muss ich noch updaten.

Grüße

cosinus 31.01.2011 21:48
Zitat:
Beim Banking kam übrigen ein ungewöhnliches Fenster. Der Text im gebrochenem deutsch verfasst und "...scanne Vorgänge..."
nach unserer ganzen Prozedur oder bevor du das Trojaner-Board aufgesucht hast? :wtf:
Und ja, ohne NoScript (und Adblock+) mag ich auch nicht mehr surfen ;)

BMX-er 31.01.2011 22:07
Bevor wir breinigt haben. Banking kann ich nur nicht Testen, da ich sein Passwort nicht kenne. Das Teste ich zusammen mit meinem Freund dann noch.

Ich spiele noch ein weilchen mit der Kiste rum, soweit sieht alles wunderbar aus.


:dankeschoen:

cosinus 31.01.2011 22:40
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

BMX-er 03.02.2011 22:32
Moin,

wollt nur abschließen bescheid geben, dass ich die Updates alle gemacht habe.
Nur habe ich die Installversion des "Foxit PDF Readers" verwendet. Na ja die Foxit-TB lässt sich ja leicht deinstallieren. :lach:

JavaRa, kannte ich noch nicht, klein und fein! :daumenhoc

Zu guter letzt habe ich noch ein Image erstellt und Ihm eine Sicherung eingerichtet.

Auch nach intensivem rumspielen ist das System sauber.

Da du Logs so liebst, hier nochmals MBAM und SUPER AntiSpyware beide ohne Befund.

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5670

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.02.2011 20:18:57
mbam-log-2011-02-03 (20-18-57).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 221246
Time elapsed: 1 hour(s), 21 minute(s), 56 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Code:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 02/03/2011 bei 09:20 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6335
Version der Spur-Datenbank : 4147

Scan Art      : kompletter Scann
Totale Scann-Zeit : 00:55:36

Gescannte Speicherelemente  : 405
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5931
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 48187
Erfasste Datei-Elemente  : 0
Nochmals :dankeschoen:

Grus

BMX-er 04.02.2011 17:45
Moin,

Kaspersky hat noch etwas gefunden! :heulen:

Code:
Inaktiv (1)       
25.01.2011 11:09:10        Inaktiv        legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.RootShell        C:\COMBOFIX\CF5842.CFXXE        Hoch       
Beendet (1)       
28.01.2011 10:08:04        Beendet        legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.Suspicious driver installation        D:\DOKUMENTE UND EINSTELLUNGEN\SPEEDY\DESKTOP\G2M3E4R.EXE        Niedrig       
Gefunden (1)       
04.02.2011 11:29:10        Gefunden        Virus Email-Worm.Win32.Agent.gnd        D:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip//document.exe        Hoch       
Desinfiziert (1)       
04.02.2011 16:33:28        Desinfiziert        Virus Email-Worm.Win32.Agent.gnd        d:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Message is infected : Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip        Hoch       
Gelöscht (1)       
04.02.2011 16:33:28        Gelöscht        Virus Email-Worm.Win32.Agent.gnd        d:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Message is infected : Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip//document.exe        Hoch
Der Zeitunterschied zwischen den beiden Funden, kommt daher, dass ich, entsetzt über den Fund, während des scans auf den Bericht geklickt habe. Der Scan wurde danach nicht weiter geführt und ich habe Kaspersky zunächst beendet. MBAM und AntiSpyware laufen lassen. Beide ohne Befund! :eek:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5673

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.02.2011 13:14:56
mbam-log-2011-02-04 (13-14-56).txt

Scan type: Full scan (C:\|D:\|G:\|)
Objects scanned: 226826
Time elapsed: 1 hour(s), 1 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Code:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 02/04/2011 bei 02:42 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6339
Version der Spur-Datenbank : 4151

Scan Art      : kompletter Scann
Totale Scann-Zeit : 01:18:36

Gescannte Speicherelemente  : 434
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5931
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 53699
Erfasste Datei-Elemente  : 0
Combofix sollte ohnehin, zumindest an dieser Stelle, nicht mehr drauf sein. Die Tools habe ich lediglich auf meinem Desktop belassen. Das ist mein Account, Passwort gesichert und mit seinem Administrator wird er sich dorthin nie verirren. Ich weise ihn aber auf die Gefahr, bei Nutzung dieser Programme noch hin.

Sollte GEMER tatsächlich von Angreiffern genutzt werden können, lösche ich es sofort, bzw. wenn wir fertig sind.

Die Scanns dauerten übrigens so lange, da ich die externe USB-Platte mit durchsuchen ließ. Image und Backup drauf!

Ich bereinige das jetzt und lass KAV nochmals laufen aber ich bin doch etwas verunsichert. Bitte nochmal helfen!

P.S.
Wollte den Rechner heute zurück geben. Er hat den Termin glücklicherweise, selbst auf Sonntag verschoben. Schnelle Antwort wäre super, damit ich Ihm morgen, wenigstens sagen kann ob es sich doch noch verzögert.

Gruß

BMX-er 04.02.2011 19:48
Moin,

das soll kein pushen sein! Ganz im Gegenteil, ich stelle gerade fest, dass ich mit meinen eigenen Terminen in Konflikt gerate. Ich werde mich erst morgen Abend wieder damit beschäftigen können.
Nach Bereinigung, Neustart kein Fund mit KAV. Habe jetzt auch ein detailliertes Log. Das zeigt allerdings den gesamten Inhalt der Outlook.pst, mit E-Mailadressen. Daher möchte ich dieses hier nicht veröffentlichen.

Gruß

cosinus 04.02.2011 21:30
Hysterische Funde von Kaspersky. Combofix ist ok. KAV ist da tw. sehr empfindlich.
Die anderen Funde sind E-Mails innerhalb deiner PST-Datei von Outlook. Löschen der betroffenen Mails kann helfen. Und zur Info: E-Mails mit virulentem Anhang sind potentiell gefährlich, es besteht nur Gewfahr wenn du manuell so einen Anhang speicherst (ggf. dann entpackst) und die entpackte EXE ausführst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132