Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? (https://www.trojaner-board.de/95255-infizierung-trojan-dnschanger-pum-disabled-securitycenter-weiteres.html)

Little_B 31.01.2011 16:04
Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres?
 
Moin aus Hamburg,
ich benutze einen Lenovo-Laptop mit XP-Professional. Nachdem ich die externe Festplatte der Tochter meiner Freundin angeschlossen hatte und über Recuva ein Paar Daten rekonstriert hatte (Ergebnis-Speicherung auf meiner Festplatte c), zeigten meine Browser ein seltsames Laufverhalten. Bei Klicks auf Suchergebnisse von Google wurde ich auf komplett andere Seiten weitergeleitet.
In den Eigenschaften meiner Internetverbindung waren 2 mir unbekannnte alternative DNS-Server-Adressen eingetragen. Die IP-Adressen gehören zu einem Server in der Ukraine.
Ich hab jetzt wie auf diesem Board empfohlen, einen Scan mit Malwarebyte und OTL gemacht. Die entsprechenden LOG-Dateien hab ich angehängt.
Die Eigenschaften meiner Internetverbindung hab ich erstmal wieder "DNS-Serveradresse automatisch beziehen" umgestellt, scheint erstmal zu helfen.
Ich erhoffe mir jetzt vom TB ein wenig Hilfe bei der Beseitigung der unangemeldeten Gäste auf meinem Rechner, die sollen ihre Party woanders weiterfeiern.

Vielen Dank im voraus

Bernd

cosinus 31.01.2011 22:23
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Little_B 01.02.2011 00:47
Moin Arne,

nein, leider nicht. Hatte nach dem merkwürdigen Verhalten meiner Browser im Netz gesucht und bin dabei auf euer Forum gestossen. Da hab ich in den grundlegenden Anleitungen gelesen, daß ein Scan mit Malwarebyte und OTL für den Anfang das wichtigste ist. Deshalb hab ich dann die Software installiert.
Übrigens hatte die Aktualisierung von Malwarebyte zunächst nicht geklappt, im nachhinein logisch, da die Betreiber des ukrainischen DNS natürlich die entsprechende Domain blockieren.:pfui:
Daraufhin hab ich die Software auf meinem Zweit-Rechner installiert und aktualisiert. Dann hab ich die aktualisierte rules.ref manuell auf meinen infizierten Rechner übertragen und den Komplettscan gestartet. In einem englischen Forum hab ich den Tip zu diesem Verfahren gefunden.
Nachdem ich die Umleitung auf den ukrainischen DNS rausgenommen habe, funktioniert die Aktualisierung über die Software auch auf meinem infizierten Rechner.

Übrigens vielen Dank für die schnelle Antwort.

Gruss

Bernd

cosinus 01.02.2011 10:22
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\RunOnceEx: []  File not found
O33 - MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\Shell - "" = AutoRun
O33 - MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Little_B 01.02.2011 11:26
Moin Arne,

Script ist durchgelaufen und Rechner neu gestartet.
Das LOG-File hat sich dann automatisch nach dem Neustart geöffnet.

Hier das OTL-LOG:

Code:
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
File E:\LaunchU3.exe -a not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: admin
->Temp folder emptied: 66363852 bytes
->Temporary Internet Files folder emptied: 2118321 bytes
 
User: Administrator
->Temp folder emptied: 12492206 bytes
->Temporary Internet Files folder emptied: 19881641 bytes
->FireFox cache emptied: 14922628 bytes
 
User: administrator.***
->Temp folder emptied: 2633472 bytes
->Temporary Internet Files folder emptied: 3452155 bytes
->FireFox cache emptied: 23697620 bytes
->Flash cache emptied: 664 bytes
 
User: All Users
 
User: ***
->Temp folder emptied: 785523249 bytes
->Temporary Internet Files folder emptied: 532680811 bytes
->Java cache emptied: 2827245 bytes
->FireFox cache emptied: 65396210 bytes
->Opera cache emptied: 825964 bytes
->Flash cache emptied: 2849053 bytes
 
User: Default User
->Temp folder emptied: 294912 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 143482 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Repair
->Temp folder emptied: 294912 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1052006164 bytes
RecycleBin emptied: 2496870751 bytes
 
Total Files Cleaned = 4.850,00 mb
 
 
OTL by OldTimer - Version 3.2.20.6 log created on 02012011_110845

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\IadHide5.dll moved successfully.

Registry entries deleted on Reboot...
Aufgefallen ist mir, daß nach dem Neustart unten rechts der Schirm von AVIRA (für den Antivir-Guard) nicht aufgetaucht ist. Wenn ich aber Control-Center von AVIRA öffne, wird angezeigt, daß der Antivir-Guard aktiv ist.

Gruss

Bernd

cosinus 01.02.2011 13:44
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Little_B 01.02.2011 17:55
Moin Arne,

Combofix ist durchgelaufen, nachdem vorher die Widerherstellungskonsole installiert wurde. Combofix hat 2 Neustarts initiiert.

Hier das LOG:

[code]
Combofix Logfile:
Code:
ComboFix 11-01-31.02 - *** 01.02.2011  17:33:19.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.3054.2550 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\etc\lmhosts
c:\windows\system32\Thumbs.db

Infizierte Kopie von c:\windows\system32\drivers\tcpip.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2011-01-01 bis 2011-02-01  ))))))))))))))))))))))))))))))
.

2011-02-01 15:46 . 2011-02-01 15:46        --------        d-----w-        c:\programme\CCleaner
2011-02-01 10:08 . 2011-02-01 10:08        --------        d-----w-        C:\_OTL
2011-01-31 10:09 . 2011-01-31 10:09        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-31 10:09 . 2011-01-31 10:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2011-01-31 10:09        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-01-31 10:09 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-01-24 14:18 . 2011-01-24 14:18        --------        d-----w-        c:\programme\Recuva
2011-01-19 15:40 . 2011-01-19 15:40        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Philipp Winterberg
2011-01-19 15:40 . 2011-01-19 15:40        --------        d-----w-        c:\programme\RarZilla Free Unrar
2011-01-18 11:44 . 2011-01-18 11:44        --------        d-----w-        c:\programme\CPUID
2011-01-18 11:44 . 2010-11-09 13:35        21992        ----a-w-        c:\windows\system32\drivers\cpuz135_x32.sys
2011-01-03 15:42 . 2011-01-03 15:42        --------        d-----w-        c:\dokumente und einstellungen\***\dwhelper

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-01 16:23 . 2007-12-18 13:43        33536        ----a-w-        c:\windows\system32\drivers\tvtfilter.sys
2010-12-20 15:38 . 2010-07-01 14:45        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-11-22 12:52 . 2010-07-01 14:45        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-17 11:04 . 2010-11-17 11:04        1626        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp
2010-11-17 11:04 . 2010-11-17 11:04        13827        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp
2010-11-17 11:04 . 2010-11-17 11:04        5222        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-17 8433664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-12-18 50688]
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2005-3-10 757760]
Kodak software updater.lnk - c:\programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
NETGEAR ProSafe VPN Client.lnk - c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2007-12-18 57396]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-14 21:17        89600        ------w-        c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 07:37        34344        ------w-        c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-12-14 02:06        28672        ------w-        c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\ViewLog.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\Vpn.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\CmonApp.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMGR.EXE"=
"c:\\Programme\\TYPO3_4.2.1\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\\WINDOWS\\system32\\lmabcoms.exe"=
"c:\\Programme\\Lexmark\\Scanback\\scanwiz.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [01.07.2010 12:20 37864]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [02.03.2007 17:47 19760]
R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [05.12.2007 16:42 46656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2010 15:45 135336]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [18.01.2011 12:44 21992]
R2 Crypto;Crypto;c:\windows\system32\drivers\Crypto.sys [18.12.2007 16:19 467002]
R2 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\drivers\IpSecDrv.sys [18.12.2007 16:19 118840]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [07.02.2007 16:57 35840]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.03.2007 22:10 11152]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [05.12.2007 17:17 520192]
R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [05.12.2007 16:42 249856]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26.03.2009 21:58 54960]
R3 DniVap;SafeNet WAN Miniport (VA);c:\windows\system32\drivers\vap.sys [18.12.2007 15:56 36188]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [13.09.2006 12:42 30336]
S3 ncp2;ncp2;c:\windows\system32\drivers\ncp2.sys [19.12.2007 16:52 40741]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe [17.11.2010 11:57 93848]
.
Inhalt des "geplante Tasks" Ordners

2011-02-01 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 14:54]

2010-10-22 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-12-18 00:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://localhost:8503/index.php?id=2
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\VMware\VMware Player\vsocklib.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynwxly1f.default\
FF - Ext: MeasureIt [de]: {75CEEE46-9B64-46f8-94BF-54012DE155F0} - %profile%\extensions\{75CEEE46-9B64-46f8-94BF-54012DE155F0}
FF - Ext: Move Media Player: moveplayer@movenetworks.com - %profile%\extensions\moveplayer@movenetworks.com
FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
FF - Ext: SecurePassword Generator: {EB8ABF49-0290-410f-BDF2-2F13A38112AB} - %profile%\extensions\{EB8ABF49-0290-410f-BDF2-2F13A38112AB}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Latviešu valodas pareizrakstības v�rdnīca: lv-LV@dictionaries.addons.mozilla.org - %profile%\extensions\lv-LV@dictionaries.addons.mozilla.org
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: PDF Download: {37E4D8EA-8BDA-4831-8EA1-89053939A250} - %profile%\extensions\{37E4D8EA-8BDA-4831-8EA1-89053939A250}
FF - Ext: MailCatch: Temporary Emails: firefox@mailcatch.com - %profile%\extensions\firefox@mailcatch.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-ACNotify - ACNotify.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-01 17:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1504)
c:\windows\system32\vrlogon.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\pscssint.dll
c:\windows\system32\netprovcredman.dll

- - - - - - - > 'explorer.exe'(2708)
c:\dokume~1\BKUSCH~1\LOKALE~1\Temp\IadHide5.dll
c:\windows\system32\btmmhook.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
c:\windows\system32\brss01a.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\LMabcoms.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.exe
c:\programme\Lenovo\Client Security Solution\tvttcsd.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\vmnat.exe
c:\programme\lenovo\system update\suservice.exe
c:\programme\VMware\VMware Player\vmware-authd.exe
c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
c:\windows\system32\vmnetdhcp.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-01  17:52:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-01 16:51

Vor Suchlauf: 5.911.961.600 Bytes frei
Nach Suchlauf: 5.790.801.920 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - F1BAC0920C4A54136B034606A44A6520
--- --- ---


Gruss

Bernd

cosinus 01.02.2011 19:09
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
File::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Little_B 01.02.2011 19:43
Moin Arne,

Skript ist durchgelaufen, Rechner wurde von Combofix aber nicht neu gestartet.
Am Ende war nur das fertige LOG offen. Ich hab jetzt den Rechner manuell neu gestartet.
Hier das LOG

Combofix Logfile:
Code:
ComboFix 11-01-31.02 - *** 01.02.2011  19:27:13.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.3054.2521 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp"
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp"
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp
c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll
c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll
c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll
c:\programme\Internet Explorer\Plugins\npqtplugin5.dll
c:\programme\Internet Explorer\Plugins\npqtplugin6.dll
c:\programme\Mozilla Firefox\Plugins\npqtplugin2.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin3.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin4.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin5.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin6.dll
c:\programme\QuickTime\Plugins\npqtplugin2.dll
c:\programme\QuickTime\Plugins\npqtplugin3.dll
c:\programme\QuickTime\Plugins\npqtplugin4.dll
c:\programme\QuickTime\Plugins\npqtplugin5.dll
c:\programme\QuickTime\Plugins\npqtplugin6.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2011-01-01 bis 2011-02-01  ))))))))))))))))))))))))))))))
.

2011-02-01 15:46 . 2011-02-01 15:46        --------        d-----w-        c:\programme\CCleaner
2011-02-01 10:08 . 2011-02-01 10:08        --------        d-----w-        C:\_OTL
2011-01-31 10:09 . 2011-01-31 10:09        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-31 10:09 . 2011-01-31 10:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2011-01-31 10:09        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-01-31 10:09 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-01-24 14:18 . 2011-01-24 14:18        --------        d-----w-        c:\programme\Recuva
2011-01-19 15:40 . 2011-01-19 15:40        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Philipp Winterberg
2011-01-19 15:40 . 2011-01-19 15:40        --------        d-----w-        c:\programme\RarZilla Free Unrar
2011-01-18 11:44 . 2011-01-18 11:44        --------        d-----w-        c:\programme\CPUID
2011-01-18 11:44 . 2010-11-09 13:35        21992        ----a-w-        c:\windows\system32\drivers\cpuz135_x32.sys
2011-01-03 15:42 . 2011-01-03 15:42        --------        d-----w-        c:\dokumente und einstellungen\***\dwhelper

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-01 16:23 . 2007-12-18 13:43        33536        ----a-w-        c:\windows\system32\drivers\tvtfilter.sys
2010-12-20 15:38 . 2010-07-01 14:45        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-11-22 12:52 . 2010-07-01 14:45        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-17 8433664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-12-18 50688]
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2005-3-10 757760]
Kodak software updater.lnk - c:\programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
NETGEAR ProSafe VPN Client.lnk - c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2007-12-18 57396]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-14 21:17        89600        ------w-        c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 07:37        34344        ------w-        c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-12-14 02:06        28672        ------w-        c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\ViewLog.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\Vpn.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\CmonApp.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMGR.EXE"=
"c:\\Programme\\TYPO3_4.2.1\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\\WINDOWS\\system32\\lmabcoms.exe"=
"c:\\Programme\\Lexmark\\Scanback\\scanwiz.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [01.07.2010 12:20 37864]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [02.03.2007 17:47 19760]
R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [05.12.2007 16:42 46656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2010 15:45 135336]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [18.01.2011 12:44 21992]
R2 Crypto;Crypto;c:\windows\system32\drivers\Crypto.sys [18.12.2007 16:19 467002]
R2 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\drivers\IpSecDrv.sys [18.12.2007 16:19 118840]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [07.02.2007 16:57 35840]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.03.2007 22:10 11152]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [05.12.2007 17:17 520192]
R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [05.12.2007 16:42 249856]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26.03.2009 21:58 54960]
R3 DniVap;SafeNet WAN Miniport (VA);c:\windows\system32\drivers\vap.sys [18.12.2007 15:56 36188]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [13.09.2006 12:42 30336]
S3 ncp2;ncp2;c:\windows\system32\drivers\ncp2.sys [19.12.2007 16:52 40741]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe [17.11.2010 11:57 93848]
.
Inhalt des "geplante Tasks" Ordners

2011-02-01 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 14:54]

2010-10-22 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-12-18 00:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://localhost:8503/index.php?id=2
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\VMware\VMware Player\vsocklib.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynwxly1f.default\
FF - Ext: MeasureIt [de]: {75CEEE46-9B64-46f8-94BF-54012DE155F0} - %profile%\extensions\{75CEEE46-9B64-46f8-94BF-54012DE155F0}
FF - Ext: Move Media Player: moveplayer@movenetworks.com - %profile%\extensions\moveplayer@movenetworks.com
FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
FF - Ext: SecurePassword Generator: {EB8ABF49-0290-410f-BDF2-2F13A38112AB} - %profile%\extensions\{EB8ABF49-0290-410f-BDF2-2F13A38112AB}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Latviešu valodas pareizrakstības v�rdnīca: lv-LV@dictionaries.addons.mozilla.org - %profile%\extensions\lv-LV@dictionaries.addons.mozilla.org
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: PDF Download: {37E4D8EA-8BDA-4831-8EA1-89053939A250} - %profile%\extensions\{37E4D8EA-8BDA-4831-8EA1-89053939A250}
FF - Ext: MailCatch: Temporary Emails: firefox@mailcatch.com - %profile%\extensions\firefox@mailcatch.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-01 19:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1504)
c:\windows\system32\vrlogon.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\pscssint.dll
c:\windows\system32\netprovcredman.dll
.
Zeit der Fertigstellung: 2011-02-01  19:35:00
ComboFix-quarantined-files.txt  2011-02-01 18:34
ComboFix2.txt  2011-02-01 16:52

Vor Suchlauf: 5.830.434.816 Bytes frei
Nach Suchlauf: 5.812.867.072 Bytes frei

- - End Of File - - D133F1EEBDBF033830D21C266E1E08F1
--- --- ---

Gruss

Bernd

cosinus 01.02.2011 20:20
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Little_B 02.02.2011 13:47
Moin Arne,

hat ein wenig gedauert. GMER ist mir zweimal abgestürzt. Beim zweiten mal (nach ca. 4,5 Std laufzeit) hab ich danebengesessen, hat mein Windows mit Bluescreen-Meldung runtergerisssen. Danach hab ich mit dem Programm wie von dir vorgeschlagen sein gelassen.
Hier das Log von OSAM (wie gewünscht ohne Online-Scan)

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:39:40 on 02.02.2011

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.16574

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Auf Updates für Windows Live Toolbar prüfen.job" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
"PMTask.job" - ? - C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE  (File found, but it contains no detailed information)

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
"TpShCPL.cpl" - "Lenovo." - C:\WINDOWS\system32\TpShCPL.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"ProtectorSuiteInfoPanel" - "UPEK Inc." - C:\Programme\ThinkVantage Fingerprint Software\infopnl.cpl
"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl
"Windows Media Connect" - "Microsoft Corporation" - C:\Programme\Windows Media Connect 2\wmccpl.dll

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ANC" (ANC) - "IBM Corp." - C:\WINDOWS\System32\drivers\ANC.SYS
"APS Digitizer Activity Monitor" (TPDIGIMN) - "Lenovo." - C:\WINDOWS\System32\DRIVERS\ApsHM86.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Conexant Setup API" (UIUSys) - ? - C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS  (File not found)
"cpuz135" (cpuz135) - "CPUID" - C:\WINDOWS\system32\drivers\cpuz135_x32.sys
"Crypto" (Crypto) - "SafeNet" - C:\WINDOWS\system32\drivers\Crypto.sys
"DLABOIOM" (DLABOIOM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLABOIOM.SYS
"DLACDBHM" (DLACDBHM) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DLACDBHM.SYS
"DLADResN" (DLADResN) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLADResN.SYS
"DLAIFS_M" (DLAIFS_M) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAIFS_M.SYS
"DLAOPIOM" (DLAOPIOM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAOPIOM.SYS
"DLAPoolM" (DLAPoolM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAPoolM.SYS
"DLARTL_N" (DLARTL_N) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DLARTL_N.SYS
"DLAUDFAM" (DLAUDFAM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAUDFAM.SYS
"DLAUDF_M" (DLAUDF_M) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAUDF_M.SYS
"DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVMCDB.SYS
"DRVNDDM" (DRVNDDM) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVNDDM.SYS
"hotcore3" (hotcore3) - "Paragon Software Group" - C:\WINDOWS\System32\drivers\hotcore3.sys
"IBMTPCHK" (IBMTPCHK) - ? - C:\WINDOWS\system32\Drivers\IBMBLDID.sys  (File found, but it contains no detailed information)
"IVI ASPI Shell" (Iviaspi) - "InterVideo, Inc." - C:\WINDOWS\System32\drivers\iviaspi.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"NetGroup Packet Filter Driver (devolo)" (NPF_devolo) - "CACE Technologies" - C:\WINDOWS\system32\drivers\npf_devolo.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pmem" (pmem) - "Microsoft Corporation" - C:\WINDOWS\System32\drivers\pmemnt.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SafeNet IPSec Plugin" (IPSECDRV) - "SafeNet" - C:\WINDOWS\system32\Drivers\IPSECDRV.sys
"SafeNet WAN Miniport (VA)" (DniVap) - "Deterministic Networks Inc." - C:\WINDOWS\System32\DRIVERS\vap.sys
"SANDRA" (SANDRA) - "SiSoftware" - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2011\WNt500x86\Sandra.sys
"Shockprf" (Shockprf) - "Lenovo." - C:\WINDOWS\System32\DRIVERS\Apsx86.sys
"SMI Helper Driver (smihlp)" (smihlp) - "UPEK Inc." - C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"TPPWRIF" (TPPWRIF) - ? - C:\WINDOWS\System32\drivers\Tppwrif.sys  (File found, but it contains no detailed information)
"TSMAPIP" (TSMAPIP) - ? - C:\WINDOWS\System32\drivers\TSMAPIP.SYS  (File found, but it contains no detailed information)
"TVT Packet Filter Service" (TVTPktFilter) - ? - C:\WINDOWS\System32\DRIVERS\tvtpktfilter.sys  (File not found)
"tvtumon" (tvtumon) - "Lenovo" - C:\WINDOWS\System32\DRIVERS\tvtumon.sys
"UIM Drive Backup Image Plugin" (Uim_IM) - "Paragon" - C:\WINDOWS\System32\Drivers\Uim_IM.sys
"Universal Image Mounter Controller" (UimBus) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\DRIVERS\UimBus.sys
"VMware Bridge Protocol" (VMnetBridge) - "VMware, Inc." - C:\WINDOWS\System32\DRIVERS\vmnetbridge.sys
"VMware hcmon" (hcmon) - "VMware, Inc." - C:\WINDOWS\system32\drivers\hcmon.sys
"VMware kbd" (vmkbd) - "VMware, Inc." - C:\WINDOWS\system32\drivers\VMkbd.sys
"VMware Network Application Interface" (VMnetuserif) - "VMware, Inc." - C:\WINDOWS\system32\drivers\vmnetuserif.sys
"VMware vmci" (vmci) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmci.sys
"VMware VMparport" (VMparport) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\VMparport.sys
"VMware vmx86" (vmx86) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmx86.sys
"Vstor2 WS60 Virtual Storage Driver" (vstor2-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vstor2-ws60.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{8EF5DC20-419C-4E43-A088-DE5B5625CA47} "CDR Column Provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\btneighborhood.dll
{DE902992-61FC-4A01-8091-53E1895C9775} "CDR Icon Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{F9633464-9E18-4C06-9D3A-E131C036A9FA} "CDR Property Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{7DDDBFE0-09C4-4680-9E13-8CE7D00EDE57} "CDR Property Sheet" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{1462EBAA-96E7-4D93-9A66-0E4068DE4FCF} "CDR Thumbnail provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL
{DE902994-61FC-4A01-8091-53E1895C9775} "CMX Icon Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{7DDDBFE2-09C4-4680-9E13-8CE7D00EDE57} "CMX Property Sheet" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{1462EBAC-96E7-4D93-9A66-0E4068DE4FCF} "CMX Thumbnail provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{DE902993-61FC-4A01-8091-53E1895C9775} "CPT Icon Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{F9633465-9E18-4C06-9D3A-E131C036A9FA} "CPT Property Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{7DDDBFE1-09C4-4680-9E13-8CE7D00EDE57} "CPT Property Sheet" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{1462EBAB-96E7-4D93-9A66-0E4068DE4FCF} "CPT Thumbnail provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL
{acb4a560-3606-11d3-aef4-00104bd0f92d} "KodakShellExtension" - "Eastman Kodak Company" - C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobile Device" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\Wcesview.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "Windows Live Toolbar" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{0FE81B52-73FA-425F-8F06-3F32451AC73F} "ClsidExtension" - "Lenovo Group Limited" - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
<binary data> "Windows Live Toolbar" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{F040E541-A427-4CF7-85D8-75E3E0F476C5} "CPwmIEBrowserHelper Object" - "Lenovo Group Limited" - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
{5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} "Windows Live Toolbar Helper" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll
{601ED020-FB6C-11D3-87D8-0050DA59922B} "WsftpBrowserHelper Class" - "Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421" - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Digital Line Detect.lnk" - "Avanquest Software " - C:\Programme\Digital Line Detect\DLG.exe  (Shortcut exists | File exists)
"Kodak EasyShare Software.lnk" - "Eastman Kodak Company" - C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe  (Shortcut exists | File exists)
"Kodak software updater.lnk" - ? - C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"NETGEAR ProSafe VPN Client.lnk" - "SafeNet" - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe  (Shortcut exists | File exists)
"BTTray.lnk" - "Broadcom Corporation." - C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"AdobeUpdater" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"IntelNetProvCredMan" - "Intel Corporation" - c:\windows\system32\netprovcredman.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll
"Lexmark Enhanced TCP/IP Port" - " " - C:\WINDOWS\system32\lmablmpm.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"NETGEAR FR Print Server" - ? - C:\WINDOWS\system32\NgSharedPort.dll  (File found, but it contains no detailed information)
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Ac Profile Manager Service" (AcPrfMgrSvc) - "Lenovo " - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
"Access Connections Main Service" (AcSvc) - "Lenovo " - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
"BrSplService" (Brother XP spl Service) - "brother Industries Ltd" - C:\WINDOWS\system32\brsvc01a.exe
"Diskeeper" (Diskeeper) - "Diskeeper Corporation" - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"IPS-Basisservice" (IPSSVC) - "Lenovo Group Limited" - C:\WINDOWS\system32\IPSSVC.EXE
"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
"lmab_device" (lmab_device) - " " - C:\WINDOWS\system32\LMabcoms.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"SafeNet IKE Service" (IREIKE) - "SafeNet" - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
"SafeNet Monitor Service" (IPSECMON) - "SafeNet" - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
"SiSoftware Deployment Agent Service" (SandraAgentSrv) - "SiSoftware" - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe
"System Update" (SUService) - "Lenovo Group Limited" - c:\programme\lenovo\system update\suservice.exe
"ThinkPad HDD APS Logging Service" (TPHDEXLGSVC) - "Lenovo." - C:\WINDOWS\System32\TPHDEXLG.exe
"ThinkVantage Registry Monitor Service" (ThinkVantage Registry Monitor Service) - "Lenovo Group Limited" - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
"TSS Core Service" (TSSCoreService) - "IBM" - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
"TVT Backup Protection Service" (TVT Backup Protection Service) - ? - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
"TVT Backup Service" (TVT Backup Service) - "Lenovo Group Limited" - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
"TVT Scheduler" (TVT Scheduler) - "Lenovo Group Limited" - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
"TVT Windows Update Monitor" (TVT_UpdateMonitor) - "Lenovo Group Limited" - C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
"tvtnetwk" (tvtnetwk) - ? - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe  (File found, but it contains no detailed information)
"VMware Agent Service" (ufad-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vmware-ufad.exe
"VMware Authorization Service" (VMAuthdService) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vmware-authd.exe
"VMware DHCP Service" (VMnetDHCP) - "VMware, Inc." - C:\WINDOWS\system32\vmnetdhcp.exe
"VMware NAT Service" (VMware NAT Service) - "VMware, Inc." - C:\WINDOWS\system32\vmnat.exe
"Windows Media Connect-Dienst" (WMConnectCDS) - "Microsoft Corporation" - C:\Programme\Windows Media Connect 2\wmccds.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"GinaDLL" - "UPEK Inc." - C:\WINDOWS\system32\vrlogon.dll
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"psfus" - "UPEK Inc." - C:\WINDOWS\system32\psqlpwd.dll
"tpfnf2" - ? - C:\Programme\Lenovo\HOTKEY\notifyf2.dll  (File found, but it contains no detailed information)
"tphotkey" - ? - C:\Programme\Lenovo\HOTKEY\tphklock.dll  (File found, but it contains no detailed information)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"VMCI sockets DGRAM" - "VMware, Inc." - C:\Programme\VMware\VMware Player\vsocklib.dll
"VMCI sockets STREAM" - "VMware, Inc." - C:\Programme\VMware\VMware Player\vsocklib.dll

===[ Logfile end ]=========================================[ Logfile end ]===


Danach hab ich dann MBRCheck laufenlassen. Da hats ne Fehlermeldung am Ende gegeben. Sieht man auch im Log, ich hab mit der Eingabe "N" (keine weiteren Optionen) abgeschlossen. Hier das LOG von MBRCheck

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 2 (build 2600)
Logical Drives Mask:                0x0000000c

Kernel Drivers (total 183):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA4BC000 compbatt.sys
  0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB9F49000 pcmcia.sys
  0xBA0B8000 MountMgr.sys
  0xB9F2A000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F04000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA4C4000 ACPIEC.sys
  0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xBA4C8000 hotcore3.sys
  0xBA0C8000 VolSnap.sys
  0xB9EEC000 atapi.sys
  0xB9E2E000 iaStor.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9E0E000 fltMgr.sys
  0xB9DFC000 sr.sys
  0xB9DE6000 DRVMCDB.SYS
  0xBA0F8000 PxHelp20.sys
  0xB9DCF000 KSecDD.sys
  0xB9D42000 Ntfs.sys
  0xB9D15000 NDIS.sys
  0xB9CF9000 Apsx86.sys
  0xBA338000 ApsHM86.sys
  0xBA108000 ohci1394.sys
  0xBA118000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xB9CDE000 Mup.sys
  0xBA138000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBA2E8000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB7E34000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB7E20000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB7DDF000 \SystemRoot\system32\DRIVERS\e1e5132.sys
  0xBA478000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB7DBB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA480000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB7D96000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB7B73000 \SystemRoot\system32\DRIVERS\NETw4x32.sys
  0xBA2F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA488000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA490000 \??\C:\WINDOWS\system32\drivers\VMkbd.sys
  0xB7B47000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xBA61A000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBA498000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xB7B36000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA5A0000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB7B22000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA4A0000 \SystemRoot\system32\DRIVERS\atmeltpm.sys
  0xBA5A4000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xB9CBA000 \SystemRoot\system32\DRIVERS\ibmpmdrv.sys
  0xBA1E8000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA4A8000 \SystemRoot\system32\drivers\iviaspi.sys
  0xBA61C000 \SystemRoot\System32\Drivers\DLACDBHM.SYS
  0xBA308000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA318000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB7AFF000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB9CAE000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xB7A2F000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xB7A15000 \SystemRoot\system32\DRIVERS\dne2000.sys
  0xBA4B0000 \SystemRoot\system32\DRIVERS\vap.sys
  0xBA718000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA148000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB9CA6000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB79FE000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA158000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA168000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA348000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB79ED000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA178000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA358000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA360000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB79BC000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xBA188000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA3B8000 \SystemRoot\system32\DRIVERS\psadd.sys
  0xBA3C0000 \SystemRoot\system32\DRIVERS\Tvti2c.sys
  0xBA622000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB69A8000 \SystemRoot\system32\DRIVERS\update.sys
  0xB865F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA3C8000 \SystemRoot\system32\DRIVERS\UimBus.sys
  0xB6962000 \SystemRoot\System32\Drivers\Uim_IM.sys
  0xBA624000 \SystemRoot\System32\Drivers\UimFIO.SYS
  0xB865B000 \SystemRoot\system32\DRIVERS\vmnetadapter.sys
  0xB8657000 \SystemRoot\system32\DRIVERS\VMNET.SYS
  0xB8452000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xBA218000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xB58F4000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0xB58D2000 \SystemRoot\system32\drivers\portcls.sys
  0xB946F000 \SystemRoot\system32\drivers\drmk.sys
  0xB58BA000 \SystemRoot\system32\drivers\AEAudio.sys
  0xB5886000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
  0xB5794000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
  0xB56E1000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
  0xBA3D0000 \SystemRoot\System32\Drivers\Modem.SYS
  0xBA5E2000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xAC976000 \SystemRoot\system32\DRIVERS\tvtumon.sys
  0xBA5DE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA6D4000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5E0000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB0B5A000 \SystemRoot\System32\Drivers\DLARTL_N.SYS
  0xAC8FE000 \SystemRoot\System32\drivers\vga.sys
  0xBA5E4000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5E6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xAC8F6000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xAC8EE000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB33E1000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xAACBF000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xAAC66000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xAAC16000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xAABF5000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB33CD000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xAABD3000 \SystemRoot\System32\drivers\afd.sys
  0xAC966000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xAC946000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xAC8E6000 \SystemRoot\System32\Drivers\StarOpen.SYS
  0xAC8DE000 \SystemRoot\System32\drivers\TSMAPIP.SYS
  0xAC8D6000 \SystemRoot\System32\drivers\Tppwrif.sys
  0xAC8CE000 \SystemRoot\system32\DRIVERS\TPHKDRV.sys
  0xAC8C6000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xAAB88000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xAC936000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xAAB19000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA5E8000 \??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys
  0xAC926000 \SystemRoot\System32\Drivers\Fips.SYS
  0xAC916000 \SystemRoot\System32\Drivers\tcusb.sys
  0xAAAF3000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA644000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xA7EC1000 \SystemRoot\System32\drivers\ANC.SYS
  0xA7EBD000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xB2DFF000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB2757000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xA7EB9000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB2BCE000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA6CFA000 \SystemRoot\System32\Drivers\dump_iaStor.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xA75C6000 \SystemRoot\System32\drivers\Dxapi.sys
  0xB1D74000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA72B000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xA21A7000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB8492000 \SystemRoot\system32\DRIVERS\tvtfilter.sys
  0xAC986000 \SystemRoot\System32\Drivers\DRVNDDM.SYS
  0xBA7F9000 \SystemRoot\System32\DLA\DLADResN.SYS
  0xA2191000 \SystemRoot\System32\DLA\DLAIFS_M.SYS
  0xA75CE000 \SystemRoot\System32\DLA\DLAOPIOM.SYS
  0xBA62C000 \SystemRoot\System32\DLA\DLAPoolM.SYS
  0xBA62E000 \??\C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys
  0xB2747000 \SystemRoot\System32\DLA\DLABOIOM.SYS
  0xA2179000 \SystemRoot\System32\DLA\DLAUDFAM.SYS
  0xA2163000 \SystemRoot\System32\DLA\DLAUDF_M.SYS
  0xB1D6C000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB1D64000 \SystemRoot\system32\DRIVERS\vmnetbridge.sys
  0xAAC56000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xAAC52000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xA20E8000 \SystemRoot\System32\Drivers\Crypto.SYS
  0xA20C7000 \??\C:\WINDOWS\system32\Drivers\IPSECDRV.sys
  0xA1FD2000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB4F8B000 \??\C:\WINDOWS\system32\drivers\hcmon.sys
  0xBA3F0000 \SystemRoot\system32\DRIVERS\PROCDD.SYS
  0xB4793000 \??\C:\WINDOWS\system32\Drivers\vmci.sys
  0xBA5B4000 \??\C:\WINDOWS\system32\Drivers\VMparport.sys
  0xA1EDA000 \??\C:\WINDOWS\system32\Drivers\vmx86.sys
  0xB4713000 \??\C:\WINDOWS\system32\drivers\cpuz135_x32.sys
  0xA1E10000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA1E0C000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xBA248000 \SystemRoot\system32\drivers\npf_devolo.sys
  0xBA604000 \??\C:\WINDOWS\System32\drivers\pmemnt.sys
  0xB3230000 \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
  0xA1B5C000 \??\C:\Programme\VMware\VMware Player\vstor2-ws60.sys
  0xA144B000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA1800000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA131C000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 64):
      0 System Idle Process
      4 System
    1364 C:\WINDOWS\system32\smss.exe
    1476 csrss.exe
    1504 C:\WINDOWS\system32\winlogon.exe
    1548 C:\WINDOWS\system32\services.exe
    1576 C:\WINDOWS\system32\lsass.exe
    1804 C:\WINDOWS\system32\ibmpmsvc.exe
    1832 C:\WINDOWS\system32\svchost.exe
    1876 svchost.exe
    900 C:\WINDOWS\system32\svchost.exe
    928 C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
    1040 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1980 svchost.exe
    380 svchost.exe
    420 C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
    1124 C:\WINDOWS\system32\BRSVC01A.EXE
    1216 C:\WINDOWS\system32\BRSS01A.EXE
    1224 C:\WINDOWS\system32\spoolsv.exe
    1452 C:\Programme\Avira\AntiVir Desktop\sched.exe
    876 C:\WINDOWS\system32\IPSSVC.EXE
    1940 C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
    2004 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    2036 C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
    224 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    332 C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
    864 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
    520 C:\WINDOWS\system32\lmabcoms.exe
    1028 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1328 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    472 C:\WINDOWS\system32\nvsvc32.exe
    496 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    552 C:\WINDOWS\system32\svchost.exe
    588 C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
    676 C:\WINDOWS\system32\TPHDEXLG.exe
    812 tvttcsd.exe
    1148 C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
    1348 C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
    1376 C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
    1420 C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
    1840 C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
    2072 wdfmgr.exe
    2116 C:\WINDOWS\system32\vmnat.exe
    2248 C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
    2540 C:\Programme\Lenovo\System Update\SUService.exe
    2560 C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
    2652 C:\Programme\VMware\VMware Player\vmware-authd.exe
    2796 C:\WINDOWS\system32\vmnetdhcp.exe
    3660 alg.exe
    2376 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2412 wmiprvse.exe
    3708 C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
    3616 C:\WINDOWS\explorer.exe
    2960 C:\Programme\Microsoft ActiveSync\wcescomm.exe
    696 C:\WINDOWS\system32\svchost.exe
    2268 C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
    2284 C:\WINDOWS\system32\wuauclt.exe
    2336 C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    3952 C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
    3216 C:\Programme\Digital Line Detect\DLG.exe
    3152 C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
    280 C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
    1696 C:\WINDOWS\system32\ctfmon.exe
    2404 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: HITACHIHTS541616J9SA00, Rev: SB4IC7UP

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: B13319C86EA1A4083B6AF00A1C6500ED84371FE9


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!
Gruss

Bernd

cosinus 02.02.2011 19:55
Code:
      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: B13319C86EA1A4083B6AF00A1C6500ED84371FE9

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRCheck nochmals aus und poste das neue Log.

Little_B 03.02.2011 09:28
Moin Arne,
eigentlich ist nur XP installiert. Wie aber schon eingangs erwähnt, handelt es sich um einen Lenovo-Laptop (T61).
Standardmässig ist auf solchen Rechnern ein eigener blauer Rettungsknopf eingebaut, über den beim Booten vor dem Start des Betriebssytems ein Lenovo-eigenes Restaurierungstool gestartet werden kann: Thinkvantage Rescue and Recovery 4. Das läuft somit unabhängig vom installierten XP. Ist somit so eine Art zweites ganz kleines Betriebssystem. Damit kann man Daten sichern, gesicherte Daten wiederherstellen und ein Antivirenprogramm starten.
Es könnte sein, daß sich hinter dem monierten MBR-Eintrag genau das verbirgt.
Deshalb nur zur Rückversicherung für mich: Soll ich jetzt Fixmbr tatsächlich ausführen?

Gruss

Bernd

P.S.: Sorry für die späte Rückantwort, musste gestern mit meiner Freundin Wohnungen angucken

cosinus 03.02.2011 12:23
Könnte sein, dass es deswegen so ist.
Brauchst du diesen Recover-Teil denn unbedingt? Man braucht es nur, um das Betriebssystem zu recovern, aber sowas sollte man über bootfähige DVDs machen. Bei einem Plattencrash hilft dir das nämlich sonst nicht weiter.

Little_B 03.02.2011 13:08
Ehrlich gesagt, hab ich das Ding noch nie benutzt. Datensicherung mach ich über Perfect Image 11, da gibts auch ne Rettungs-DVD um das ganze wiedereinzuspielen. Leider ist meine letzte Komplettsicherung schon 4 wochen her (ich weiss, grosser Fehler, hab mir aber noch keinen RAID-Server für zuhause zugelegt), daher hab ich auch kein Backup eingespielt, sondern versuch eben mit deiner Hilfe die Plagegeister so loszuwerden.
Die Datensicherung über Rescue and Recovery hab ich glaub ich einmal vor 2 Jahren gemacht.
Lange Rede kurzer Sinn. Ich brauch den Kram nicht wirklich.

Ich nehme mal an, daß mit fixmbr und fixboot der von MBRCheck monierte Teil des MBR entfernt wird. Folge könnte dann also sein, daß mein ach so wichtiger Thinkvantage-Knopf nicht mehr funktioniert. Ich denke das Teil ist entbehrlich.

Die Frage ist aber, wie komm ich eigentlich an die Wiederherstellungskonsole ran.
Hintergrund: Bei mir ist dieses DOS-Fenster, in dem man auswählt, ob Start von XP oder Widerherstellungskonsole erfolgen soll, nur für den geschätzten Bruchteil einer Sekunde zu sehen, und dann nimmt das System schon den Start von XP. Gibts irgendwo einen Parameter, wo man die Dauer einstellen kann, damit Menschen mit normalen Reflexen auch eine Chance haben?
Ansonsten könnte ich auch meine XP-Installations-DVD reinwerfen, ich glaub da kommt man in den Reparaturmodus und kann eine Konsole aufmachen und die Befehle ausführen.

Für einen kleinen Tip wäre ich dankbar.

Gruss

Bernd


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:19 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131