mbr rootkit problem

#0
16.11.2009, 21:13
...neu hier

Beiträge: 10
#1 Salü zusammen

Mein Antivir meldet, er findet auf allen meinen Disks BOO/Sinowal.C.

mbr.exe ergibt folgendes Log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user: MBR read successfully
user & kernel MBR OK
kernel: error reading MBR
malicious code @ sector 0x1749ddc1 size 0x1e4 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x01749DDC1 !

Wer kann mir helfen?

Sind 3 Ide Disks und 1x SATA.

PC läuft soweit ok.
Weiss jemand was der Virus macht?
Seitenanfang Seitenende
17.11.2009, 11:25
Moderator

Beiträge: 5694
#2 Hallo Lukas und Willkommen ;)

Aus der Schweiz???

Arbeite bitte als Einstieg den Link meiner Signatur ab und poste die Logs. Wie meinst du auf ALL MEINEN DISKS??
Seitenanfang Seitenende
17.11.2009, 17:52
...neu hier

Themenstarter

Beiträge: 10
#3 DAs mit allen Disks war offenbar übertrieben.....ist nur auf 2 meiner Disks, sind glaub beides SATA, die ich vom Geschäft heimnahm, die waren vorher in einem RAID-1-Verbund drin, könnte das einen Einfluss haben? Jetzt sind sie aber standalone. Die beiden Disks sind nicht bootbar, nur rein Daten drauf.

Grundsätzlich merke ich aber nichts sonderlich komisches auf meinem PC. Die vorgeschlagene Methode mit dem Tool von Antivir (CD-Brennen, booten, etc.) erkennt zwar dann im Dos-Modus auch den virus, kann ihn aber nicht entfernen.

Ich frage mich jetzt aber, ob evt. das auch ein Fehlalarm sein könnte?

Hier das Log von Antivir:

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD2
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'N:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'O:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Log von MalwareBytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3186
Windows 5.1.2600 Service Pack 2

17.11.2009 13:29:30
mbam-log-2009-11-17 (13-29-30).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 147081
Laufzeit: 7 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Backdoor.Sinowal) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Log von Gmer:

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-17 17:40:29
Windows 5.1.2600 Service Pack 2
Running: lh32q4e8.exe; Driver: c:\temp\pgtdipow.sys


---- System - GMER 1.0.15 ----

SSDT EC5C64DE ZwCreateKey
SSDT EC5C64D4 ZwCreateThread
SSDT EC5C64E3 ZwDeleteKey
SSDT EC5C64ED ZwDeleteValueKey
SSDT EC5C64F2 ZwLoadKey
SSDT EC5C64C0 ZwOpenProcess
SSDT EC5C64C5 ZwOpenThread
SSDT EC5C64FC ZwReplaceKey
SSDT EC5C64F7 ZwRestoreKey
SSDT EC5C64E8 ZwSetValueKey
SSDT EC5C64CF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwYieldExecution + 452 804E4C8C 4 Bytes CALL C23AA8F5

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 412D1FF7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 412D1F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 412D1FBC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 412D1F04 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 412D1F3E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 412D2032 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 411817EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] ole32.dll!OleLoadFromStream 774FA257 5 Bytes JMP 412D21F4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)

Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip Scap.sys (Check Point Software Technologies)
AttachedDevice \Driver\Tcpip \Device\Tcp Scap.sys (Check Point Software Technologies)

Device IdeBusDr.sys (Intel Application Accelerator Driver/Intel Corporation)
Device \Driver\usbhub \Device\00000091 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)
Device \Driver\usbhub \Device\00000092 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)
Device \Driver\usbhub \Device\00000093 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)
Device \Driver\usbhub \Device\00000094 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)

AttachedDevice \Driver\Tcpip \Device\Udp Scap.sys (Check Point Software Technologies)

Device \Driver\usbhub \Device\00000096 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)

AttachedDevice \Driver\Tcpip \Device\RawIp Scap.sys (Check Point Software Technologies)

Device \Driver\usbuhci \Device\USBFDO-0 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)
Device \Driver\usbehci \Device\USBFDO-3 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider)

AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00027202a6f6
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00027202a6f6@001783093fee 0xD7 0xB7 0x73 0x7E ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00027202a6f6 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00027202a6f6@001783093fee 0xD7 0xB7 0x73 0x7E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xE9 0x02 0x6C 0xFA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Log von HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:45, on 17.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\aetcrss1.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
D:\Programme\Linksys\Linksys Surveillance Utility\Recorder.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
c:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
D:\Programme\Linksys\Linksys Surveillance Utility\Monitor.exe
D:\Programme\Babylon\Babylon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
D:\Programme\SpamPal\spampal.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Paymaker\HtmlShell.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\mstsc.exe
T:\Programme\PMMail\PMMailw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Malware\3.HJT\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TrendProtect - {E3578B37-6346-4EC1-A82B-38273A100DCF} - C:\Programme\Trend Micro\TrendProtect\MSIE\wrs.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: TrendProtect - {F83BE649-1CC3-48EE-B2E2-0826CEF3822A} - C:\Programme\Trend Micro\TrendProtect\MSIE\wrs.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Nokia Tray Application] c:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CertificateRegistration] aetcrss1.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Recorder.exe] D:\Programme\Linksys\Linksys Surveillance Utility\Recorder.exe
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [NBJ] "D:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [Babylon Translator] D:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Startup: PCSuiteForNokia6600 TS.lnk = ?
O4 - Startup: Pinnacle ShowCenter StreamServer.lnk = ?
O4 - Startup: SpamPal.lnk = D:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = D:\Programme\OnlineUpdate\PeOnlineUpdate.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: View EXIF - C:\Programme\ViewEXIF\EXIF.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O15 - Trusted Zone: http://www.masstisch.de
O15 - Trusted Zone: http://www.nokia.ch
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} (IfolorUploader Control) - http://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.3.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - hXXp://download.rfwnad.com/cab/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{8648123F-852E-4EC3-9095-32F8B1D5F934}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: trendprotect - {BC3A5F6F-12A0-4B14-A184-32939F413823} - C:\Programme\Trend Micro\TrendProtect\MSIE\wrs.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - C:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
O23 - Service: Matrox.Pdesk.ServicesHost - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - D:\Programme\Serv-U\ServUDaemon.exe (file missing)
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - D:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - Unknown owner - C:\WINDOWS\System32\vmnat.exe

--
End of file - 13308 bytes

Uninstall-List:

3D-Viewer-innoPlus
AC3Filter (remove only)
Ad-Aware
Adobe Acrobat 5.0
Adobe AIR
Adobe AIR
Adobe Download Manager 2.0 (Remove Only)
Adobe Flash Player 10 ActiveX
Adobe Media Player
Adobe Media Player
Adobe Reader 7.0 - Deutsch
AlarmMaster (remove only)
Alien Skin Image Doctor 1.0 Demo
AnyDVD
Avance AC'97 Audio
Avira AntiVir Personal - Free Antivirus
Babylon
Bubble Bubble Swim v1.0
C-CHANNEL e-banking (PAYMAKER / NetBanking)
C-CHANNEL OnlineUpdate
C-CHANNEL SwissMoney
CD'n'Go! Suite 2.00
Check Point VPN-1 SecuRemote NGX R60 HFA1
Citrix ICA Web Client
Citrix Presentation Server Client
CloneCD
CloneDVD2
dBpowerAMP Music Converter
dBpowerAMP WMA V9 Codec
DEUTSCHLAND SPIELT GAME CENTER
Digital Image Recovery 1.47
DiscAPI (Studio 10)
DivX
dMC File Selector
dMC Power Pack
dMC SPA Removable Driver
dMC Sveta Portable Audio
Download-Central
EasyTax 2002 AG 1.0
EasyTax 2003 AG 1.0
EasyTax 2004 AG 1.01 ohne Kursliste
EasyTax 2005 AG
EasyTax 2006 AG 1.0 ohne Kursliste
EasyTax 2007 AG 1.02
EasyTax 2008 AG 1.0
EIBA ETS3 Starter
eMule
eMule 26d v.4
enAlarmPPC 3.3.0
end.net enAlarmPPC v3.2.3
eTax.schwyz 2003 Natürliche Personen
eTax.schwyz 2004 nP 3.0.3
eTax.schwyz 2005 nP 4.0.3
eTax.schwyz 2006 nP 5.0.2
eTax.schwyz 2007 nP 6.0.1
ETS3 - InfoTerminal Touch Gira 1v03
ETS3 Professional
Exifer
Express ClickYes
Gallery Constructor 2.0
Gentimer
GetRight
GIMP 2.6.6
Hauppauge WinTV Infrared Remote
Hauppauge WinTV NT4/Win2000 Drivers
Hauppauge WinTV Radio
Hauppauge WinTV2000
Hex Workshop v4.10
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB909394)
Hotfix for Windows XP (KB915865)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hypothekarbank Lenzburg E-Identity
ICQ
ifolor Bestellsoftware 3.6
Intel Application Accelerator
Ipswitch WS_FTP Pro
IrfanView (remove only)
iRiver Caption Editor
IsoBuster 1.5
JAlbum
Jasc Paint Shop Photo Album 5
Jasc Paint Shop Pro 8
Java(TM) 6 Update 6
Jumping Jeff
L&H TTS3000 British English
L&H TTS3000 Deutsch
L&H TTS3000 Français
L&H TTS3000 Italiano
LDB Manager
Linksys Surveillance Utility
LiveUpdate 1.90 (Symantec Corporation)
Logitech MouseWare 9.76
Macromedia Dreamweaver MX
Macromedia Extension Manager
Macromedia Fireworks MX
Malwarebytes' Anti-Malware
Matrox Graphics Software (remove only)
Matrox PowerDesk-SE
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft ActiveSync
Microsoft AutoRoute 2002
Microsoft Data Access Components KB870669
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
mIRC
Mobiclip (beta)
MOTORRAD Tourenplaner
Mozilla Firefox (2.0.0.11)
MP3
MP3 (C:\Programme\mp3\)
MSVRI Ref:152365234
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Multi-Card Reader & Flash Disk
MySQL Connector/ODBC 3.51
Need for Speed Underground 2
Nero 6 Ultra Edition
Network Tools
Nokia PC Connectivity SDK 3.0a
NVIDIA Drivers
Palm Desktop
PC Inspector smart recovery
PC Suite für das Nokia 6600
Pinnacle device drivers
Pinnacle Instant DVD Recorder
Pinnacle MediaServer
PlexTools
PMMail 2000
PocketDict
PowerDVD
QuickTime
QXL Ricardo Assistant 5
RAPID (Studio 10)
ratDVD 0.78.1444
RealOne Player
ROUTE 66 Route 2003
ROUTE 66 Route 2003
ROUTE 66 Route 2003
ROUTE 66 Route 2003
ROUTE 66 Route 2003
Roxio WinOnCD 5 Power Edition
Roxio WinOnCD ServicePack 5.05
Semiolog
Serials 2000
Serv-U
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB883939)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896422)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB896688)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899588)
Sicherheitsupdate für Windows XP (KB899589)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901190)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB903235)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB905915)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912812)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913446)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB916281)
Sicherheitsupdate für Windows XP (KB917159)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922760)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925454)
Sicherheitsupdate für Windows XP (KB925486)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928090)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB929969)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931768)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933566)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937143)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938127)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB939653)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB942615)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944338)
Sicherheitsupdate für Windows XP (KB944533)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB947864)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958470)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB963027)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB971032)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Skype 3.0
Skype add-on for IE
Skype Plugin Manager
SmartSound Quicktracks Plugin
SnagIt 8
SpamPal
Spybot - Search & Destroy
Spybot - Search & Destroy 1.5.2.20
Studio 10
Studio 10.5.2 Patch
Symantec Ghost Console and Standard Tools
Synology Download Redirector
TextPad 4.7
Trend Micro TrendProtect for Internet Explorer
TVgenial
TwixTel
UBS BESR e-list
UBS BESR e-list 4.1.003 (build 1, OFX)
UBSPay
UBSPay 5.0.002 (build 1, OFX)
UBSPay PayNet Extension 1.0.004 (b1)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 7 (KB976749)
Update für Windows XP (KB894391)
Update für Windows XP (KB896727)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB925720)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB942840)
Update für Windows XP (KB946627)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB973815)
USB STORM TROOPER GAME PAD
VEKA CD-ROM 2006 Version CH 5.0
VideoLAN VLC media player
Visual Zip Password Recovery Processor
VLC media player 0.9.8a
VMware Workstation
VTPlus32 für WinTV (German)
WIDCOMM Bluetooth Software
Winamp (remove only)
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Media Connect
Windows Media Connect
Windows Media Format Runtime
Windows Media Player 10
Windows Media Player 10 Hotfix - KB894476
Windows XP Service Pack 2
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB867282
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB890923
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893066
Windows XP-Hotfix - KB893086
WinImage
WinRAR archiver
WinVNC 3.3.3
WinZip
WinZip Self-Extractor
XviD Video Codec 24062003-1 (Koepi's developer build)
Yahoo! Messenger
Zero Assumption Recovery Version 7.9
ZROM
Seitenanfang Seitenende
18.11.2009, 10:04
Moderator

Beiträge: 5694
#4 Ich werde mich noch um die Logs kümmern am Abend.
Seitenanfang Seitenende
18.11.2009, 10:48
...neu hier

Themenstarter

Beiträge: 10
#5 Salü

Ich habe mittlerweile auf allen 3 Disks den MBR via WinXP Wiederherstellungskonsole neu geschrieben. Bei den beiden Disks O und N ist nun der Bootblock-Virus weg, bei der Bootdisk jedoch meldet Gmer immer noch dass was komisch ist:

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2009-11-18 10:42:36
Windows 5.1.2600 Service Pack 2
Running: lh32q4e8.exe; Driver: c:\temp\pgtdipow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip Scap.sys (Check Point Software Technologies)
AttachedDevice \Driver\Tcpip \Device\RawIp Scap.sys (Check Point Software Technologies)
AttachedDevice \Driver\Tcpip \Device\Tcp Scap.sys (Check Point Software Technologies)
AttachedDevice \Driver\Tcpip \Device\Udp Scap.sys (Check Point Software Technologies)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)
AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)

---- EOF - GMER 1.0.15 ----

Avira hat dort aber noch nie was gemeldet.
Ich lasse derzeit nochmals einen vollständigen Avira-check laufen und noch einen Gmer und Malwarebytes....mal sehen ob die noch was melden.

Könnte der Gmer auch einen Fehlalarm melden. Die Bootdisk ist aufgeteilt in 3 Partitionen.

Gruss und Danke
Lukas
Seitenanfang Seitenende
18.11.2009, 23:21
Moderator

Beiträge: 5694
#6
MBR wiederherstellen

Entweder so:
• Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu.
• Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
• Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
• Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
• Nun gebe folgenden Befehl ein:
fixmbr

oder so:
• Kopiere die Datei mbr.exe nach C:\Windows\system32
• Start => ausführen => cmd (da reinschreiben) => OK
• es öffnet sich ein Dosfenster
• bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
• und ggfs. den Anweisungen folgen.


und installiere Dir doch bitte noch das ServicePack3 für XP.
Seitenanfang Seitenende
19.11.2009, 06:17
...neu hier

Themenstarter

Beiträge: 10
#7 Salü

eben, mbr hab ich neu geschrieben, trotzdem meldet gmer immer noch was komisches....sieh letze Meldung....was meinst du dazu?

Virenscann mit Antivir meldet nichts mehr.

Gruss Lukas
Seitenanfang Seitenende
19.11.2009, 18:33
Moderator

Beiträge: 5694
#8 Hast Du Dir das Servicepack3 installiert und danach nochmals MBR angewendet?
Seitenanfang Seitenende
19.11.2009, 23:07
...neu hier

Themenstarter

Beiträge: 10
#9 mmh...auch nach sp3 und fixmbr immer noch gleich:

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2009-11-19 23:06:30
Windows 5.1.2600 Service Pack 3
Running: lh32q4e8.exe; Driver: c:\temp\pgtdipow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)
AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip Scap.sys (Check Point Software Technologies)
AttachedDevice \Driver\Tcpip \Device\Tcp Scap.sys (Check Point Software Technologies)
AttachedDevice \Driver\Tcpip \Device\Udp Scap.sys (Check Point Software Technologies)
AttachedDevice \Driver\Tcpip \Device\RawIp Scap.sys (Check Point Software Technologies)

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
22.11.2009, 13:08
Moderator

Beiträge: 5694
#10 Sorry, hatte die Tage wenig Zeit.

Lade Combofix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.
Seitenanfang Seitenende
22.11.2009, 21:09
...neu hier

Themenstarter

Beiträge: 10
#11 Salü

Hier das Log:

ComboFix 09-11-21.03 - Lukas 22.11.2009 13:39.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.1024.591 [GMT 1:00]
ausgeführt von:: d:\malware\4. Combofix\Test.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\windows\regedit.com
c:\windows\system32\win.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SERV-U
-------\Legacy_WINDOWS_LOG
-------\Service_Serv-U


((((((((((((((((((((((( Dateien erstellt von 2009-10-22 bis 2009-11-22 ))))))))))))))))))))))))))))))
.

2009-11-22 19:58 . 2009-11-22 19:58 53248 ----a-w- c:\temp\catchme.dll
2009-11-22 11:00 . 2009-07-21 13:40 404737 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe
2009-11-22 11:00 . 2008-10-20 07:38 126721 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll
2009-11-19 21:59 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-11-19 21:57 . 2009-11-19 21:57 -------- d-----w- c:\temp\babylon_data
2009-11-19 21:14 . 2008-04-13 21:06 144384 ------w- c:\windows\system32\drivers\hdaudbus.sys
2009-11-19 21:14 . 2008-04-13 23:10 10240 ------w- c:\windows\system32\drivers\sffp_mmc.sys
2009-11-17 12:20 . 2009-11-17 12:20 -------- d-----w- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Malwarebytes
2009-11-17 12:20 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-17 12:20 . 2009-11-17 12:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-17 12:20 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-16 20:08 . 2009-11-16 20:08 10 ----a-w- C:\fix.bat
2009-11-16 20:08 . 2009-11-16 20:01 77312 ----a-w- C:\mbr.exe
2009-11-16 19:27 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-16 19:27 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-16 19:27 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-16 19:27 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-16 19:27 . 2009-11-16 19:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-09 19:03 . 2009-11-09 19:03 40960 ----a-r- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Microsoft\Installer\{6347401C-C260-4B30-9816-8F5A1419CC49}\NewShortcut6_6347401CC2604B3098168F5A1419CC49.exe
2009-11-09 19:03 . 2009-11-09 19:03 1078 ----a-r- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Microsoft\Installer\{6347401C-C260-4B30-9816-8F5A1419CC49}\ARPPRODUCTICON.exe
2009-11-09 19:03 . 2009-11-09 19:03 -------- d-----w- c:\programme\Hypothekarbank Lenzburg
2009-11-01 19:43 . 2009-11-01 21:05 -------- d-----w- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\gtk-2.0
2009-11-01 19:36 . 2009-11-01 19:36 -------- d-----w- c:\dokumente und einstellungen\Lukas\.thumbnails
2009-11-01 19:35 . 2009-11-01 21:06 -------- d-----w- c:\dokumente und einstellungen\Lukas\.gimp-2.6
2009-11-01 19:35 . 2009-11-01 19:35 -------- d-----w- c:\dokumente und einstellungen\Lukas\.gegl-0.0

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-22 12:59 . 2001-08-18 12:00 92960 ----a-w- c:\windows\system32\perfc007.dat
2009-11-22 12:59 . 2001-08-18 12:00 480152 ----a-w- c:\windows\system32\perfh007.dat
2009-11-22 12:55 . 2003-05-19 16:12 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-11-22 12:55 . 2003-05-16 21:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-11-19 22:04 . 2006-02-10 22:35 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
2009-11-19 21:22 . 2003-04-19 10:42 86327 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-11-19 21:11 . 2005-10-27 19:07 -------- d-----w- c:\programme\Argos Mini II
2009-11-17 17:47 . 2007-10-21 17:55 -------- d-----w- c:\programme\Gemeinsame Dateien\EIBA sc
2009-11-09 19:01 . 2003-04-20 08:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-09 19:01 . 2005-10-27 19:06 -------- d-----w- c:\programme\HBL_E-Identity
2009-09-30 21:35 . 2009-09-30 19:53 -------- d-----w- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Download Manager
2009-09-11 14:17 . 2001-08-18 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2001-08-18 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:24 . 2004-11-11 18:50 832512 ----a-w- c:\windows\system32\wininet.dll
2009-08-29 07:24 . 2004-08-04 07:57 78336 ------w- c:\windows\system32\ieencode.dll
2009-08-29 07:24 . 2001-08-18 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-08-26 08:00 . 2003-04-19 11:07 247326 ----a-w- c:\windows\system32\strmdll.dll
2004-03-02 22:24 . 2003-05-09 22:41 560 ----a-w- c:\programme\Global.sw
2002-07-26 15:02 . 2006-05-30 18:13 153088 ----a-w- c:\programme\UNWISE.EXE
2008-04-14 06:52 . 2001-08-18 12:00 617472 --sha-w- c:\windows\system32\comctl32.dll
2008-04-14 06:52 . 2001-08-18 12:00 1028096 --sha-w- c:\windows\system32\mfc42.dll
2008-04-14 06:52 . 2003-04-19 11:07 413696 --sha-w- c:\windows\system32\msvcp60.dll
2008-04-14 06:52 . 2003-04-19 11:07 343040 --sha-w- c:\windows\system32\msvcrt.dll
2001-08-18 12:00 . 2001-08-18 12:00 253952 --sha-w- c:\windows\system32\msvcrt20.dll
2008-04-14 06:52 . 2004-01-15 20:55 30749 --sha-w- c:\windows\system32\vbajet32.dll
1998-05-18 01:06 . 2003-11-09 15:29 368912 --sha-w- c:\windows\system32\VBAR332.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="d:\programme\Ahead\Nero BackItUp\nbj.exe" [2005-01-04 1937408]
"Babylon Translator"="d:\programme\Babylon\Babylon.exe" [2003-02-19 2535495]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\windows\System32\rmctrl.exe" [2001-11-09 32768]
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2003-05-27 77824]
"CloneCDElbyCDFL"="d:\programme\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"Nokia Tray Application"="c:\programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" [2003-02-10 425984]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-04-03 151597]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]
"USBToolTip"="c:\programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" [2006-01-23 196608]
"PinnacleDriverCheck"="c:\windows\system32\\PSDrvCheck.exe" [2004-03-10 406016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-09 86016]
"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2007-09-11 1910016]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="d:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2002-08-15 46592]
"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2003-03-04 19968]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-03-09 1519616]
"CertificateRegistration"="aetcrss1.exe" - c:\windows\system32\aetcrss1.exe [2006-05-19 45056]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-09-22 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Lukas\Startmen\Programme\Autostart\
PCSuiteForNokia6600 Detect.lnk - c:\programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe [2005-1-28 196608]
PCSuiteForNokia6600 TS.lnk - c:\programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe [2005-1-28 258112]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
C-CHANNEL OnlineUpdate.lnk - d:\programme\OnlineUpdate\PeOnlineUpdate.exe [2005-10-22 993096]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
2006-04-09 18:59 24674 ----a-w- c:\windows\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\emule\\emule.exe"=
"c:\\Programme\\Intuwave\\Shared\\mRouterRunTime\\mRouterRuntime.exe"=
"d:\\Internet\\ICQ\\Icq.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\svchost.exe"=
"d:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"d:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"d:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"d:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SERVICE.EXE"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.EXE"=
"c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SCC.EXE"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"d:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [29.08.2007 03:04 116264]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [16.11.2009 20:27 108289]
R2 CP_OMDRV;Check Point Office Mode Module;c:\windows\system32\drivers\omdrv.sys [01.04.2007 12:32 36400]
R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [11.09.2007 14:17 500992]
R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [11.09.2007 14:16 177408]
R2 Scap;SecureClient Application Policy Module;c:\windows\system32\drivers\scap.sys [08.06.2005 18:28 17456]
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;c:\windows\system32\drivers\vnasc.sys [01.04.2007 12:33 109072]
R2 VPN-1;VPN-1 Module;c:\windows\system32\drivers\vpn.sys [08.06.2005 18:28 671472]
R3 FW1;SecuRemote Miniport;c:\windows\system32\drivers\fw.sys [08.06.2005 18:28 2234320]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [07.05.2004 18:21 6400]
R3 TodosAgmII;Driver for Todos Argos Mini II USB;c:\windows\system32\drivers\AgmIIusb.sys [23.11.2004 15:37 17152]
S2 IFP300;iRiver Internet Audio Player IFP-300;c:\windows\system32\DRIVERS\ifp300.sys --> c:\windows\system32\DRIVERS\ifp300.sys [?]
S3 3xHybrid;Pinnacle PCTV Stereo service;c:\windows\system32\drivers\3xHybrid.sys [05.12.2003 11:56 556416]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [10.02.2006 23:35 17408]
S3 HCW848NT;Hauppauge Win/TV;c:\windows\system32\drivers\HCW848NT.sys [30.04.2003 22:41 140440]
S3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8xx.sys [27.04.2003 11:37 427588]
S3 OMVA;VPN-1 SecureClient Adapter;c:\windows\system32\drivers\OMVA.sys [08.06.2005 18:28 14924]
S3 Pei10Wdm;PEI10 Protokoll Treiber;c:\windows\system32\drivers\Pei10Wdm.sys [15.08.2002 08:20 35547]
S3 Pei16Wdm;PEI16 Protokoll Treiber;c:\windows\system32\drivers\Pei16Wdm.sys [19.09.2002 20:07 34683]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\aetsprov]
c:\windows\system32\regsvr32.exe /s c:\windows\system32\aetsprov.dll
.
Inhalt des "geplante Tasks" Ordners

2008-01-17 c:\windows\Tasks\PowerOff.job
- c:\batch\PowerOff.bat [2008-01-17 20:58]

2005-01-20 c:\windows\Tasks\TASK20050120195817.job
- d:\internet\WS_FTP Pro\wsftppro.exe [2003-05-20 15:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: View EXIF - c:\programme\ViewEXIF\EXIF.htm
Trusted Zone: masstisch.de\www
Trusted Zone: nokia.ch\www
TCP: {8648123F-852E-4EC3-9095-32F8B1D5F934} = 192.168.2.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab
FF - ProfilePath - c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Mozilla\Firefox\Profiles\4sf98yai.default\
FF - component: d:\programme\Mozilla Firefox\components\xpinstal.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
AddRemove-Download-Central - c:\windows\Coder\_1-dow-1-0-.exe
AddRemove-end.net enAlarmPPC v3.2.3 - c:\programme\Microsoft ActiveSync\end.net
AddRemove-mIRC - d:\programme\mirc\GermanFunScript\mirc.exe
AddRemove-UBS BESR e-list - d:\programme\UBS BESR\DeIsL2.isu



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-22 20:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1060)
c:\windows\system32\aetcsss1.dll
c:\windows\system32\aetpkss1.dll

- - - - - - - > 'explorer.exe'(1836)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
d:\programme\Babylon\CAPTLIB.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\CheckPoint\SecuRemote\bin\SR_Service.exe
c:\programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\System32\SCardSvr.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\mgabg.exe
c:\windows\System32\locator.exe
c:\windows\system32\wdfmgr.exe
c:\windows\System32\vmnetdhcp.exe
c:\programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe
c:\programme\Logitech\MouseWare\system\em_exec.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\progra~1\Nokia\PCSUIT~1\Elogerr.exe
d:\programme\SpamPal\spampal.exe
c:\programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
c:\progra~1\Nokia\PCSUIT~1\BROADC~1.EXE
c:\progra~1\Nokia\PCSUIT~1\SCRFS.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-22 21:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-22 20:05

Vor Suchlauf: 17 Verzeichnis(se), 11'011'981'312 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 10'875'256'832 Bytes frei

- - End Of File - - EE3F60911C526B2DBE8892FA5B7CA46C
Seitenanfang Seitenende
22.11.2009, 22:45
Moderator

Beiträge: 5694
#12 Was hast DU hier:
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - hXXp://download.rfwnad.com/cab/crack.CAB

>>
Einträge mit HijackThis fixen

Bitte alle Anwendungen inkl. Browser schließen und folgende Einträge mit HJT fixen (falls noch vorhanden):
Starte HijackThis (bei Vista mit Rechtsklick als Adminstrator) => Do a system scan only => mache vor folgenden Zeilen einen Haken klicke und dann "Fix checked":

Code

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - hXXp://download.rfwnad.com/cab/crack.CAB
Den Rechner neu starten.

>>
Filesharing

Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen.

Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren

Zitat

emule
>>
Hast Du diesen Task angelegt:
c:\windows\Tasks\TASK20050120195817.job

>>
Downloade NoLop und speichere es auf Deinem Desktop.
• Schließe alle laufenden Programme, da das Tool den Rechner neu starten wird.
• Doppelklicke die NoLop.exe, um das Tool zu starten.
• Klicke den Search and Destroy-Button.
• Die infizierten Dateien werden gesucht.
• Wenn der Scan beendet ist wirst Du nur dann zum Reboot aufgefordert, wenn infizierte Dateien gefunden.
• Ist das der Fall, klicke auf den REBOOT-Button.
• Von NoLop kann eine Nachricht erscheinen. Bestätige, dann wird das Programm beendet.
• Wenn keine Nachricht von NoLop erscheint, bitte das Tool erneut doppelklicken und es wird die Bereinigung beenden.
• Kopiere den Inhalt von C:\NoLop.log hier in den Thread.

Solltest Du diese Fehlermeldung erhalten: mscomctl.ocx or one of its dependencies are not correctly registered, bitte lade Dir mscomctl.ocx herunter und speichere das im Ordner C:\Windows\system32 und lasse anschließend das Tool erneut laufen.
Seitenanfang Seitenende
23.11.2009, 21:57
...neu hier

Themenstarter

Beiträge: 10
#13 Eintrag war bereits leer, hab ihn jetzt ganz gelöscht
Emule deinstalliert
Task war wohl von Wsftp....könnte gut von mir sein. Hab jetzt noch einen deaktivierten Task für einen Daily Shutdown, machte ich mal ne Zeit lang.

Nolop-Link ging nicht, habs hier gefunden:
http://virus-protect.org/artikel/tools/nolop.html
Werde es nun starten.
Seitenanfang Seitenende
23.11.2009, 21:58
Moderator

Beiträge: 5694
#14 Ja mach es von dort aus.
Seitenanfang Seitenende
23.11.2009, 21:59
...neu hier

Themenstarter

Beiträge: 10
#15 Log:

NoLop! Log by Skate_Punk_21

Fix running from: D:\Malware\5. Nolop
[23.11.2009]
[21:57:47]

---Infection Files Found/Removed---
NO INFECTION FILES FOUND - Cleaning Aborted.

---Listing AppData sub directories---

C:\Dokumente und Einstellungen\Alexandra\Application Data\Microsoft
C:\Dokumente und Einstellungen\Lukas\Application Data\Adobe
C:\Dokumente und Einstellungen\Lukas\Application Data\Microsoft
C:\Dokumente und Einstellungen\Lukas\Application Data\Pgp
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: