mbr rootkit problem |
||
|---|---|---|
| #0
| ||
|
16.11.2009, 21:13
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
17.11.2009, 11:25
Moderator
Beiträge: 5694 |
#2
Hallo Lukas und Willkommen
 Aus der Schweiz??? Arbeite bitte als Einstieg den Link meiner Signatur ab und poste die Logs. Wie meinst du auf ALL MEINEN DISKS?? |
|
|
|
|
|
|
17.11.2009, 17:52
...neu hier
Themenstarter Beiträge: 10 |
#3
DAs mit allen Disks war offenbar übertrieben.....ist nur auf 2 meiner Disks, sind glaub beides SATA, die ich vom Geschäft heimnahm, die waren vorher in einem RAID-1-Verbund drin, könnte das einen Einfluss haben? Jetzt sind sie aber standalone. Die beiden Disks sind nicht bootbar, nur rein Daten drauf.
Grundsätzlich merke ich aber nichts sonderlich komisches auf meinem PC. Die vorgeschlagene Methode mit dem Tool von Antivir (CD-Brennen, booten, etc.) erkennt zwar dann im Dos-Modus auch den virus, kann ihn aber nicht entfernen. Ich frage mich jetzt aber, ob evt. das auch ein Fehlalarm sein könnte? Hier das Log von Antivir: Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C [WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe. Masterbootsektor HD2 [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C [WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD6 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'N:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'O:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C [HINWEIS] Der Sektor wurde nicht neu geschrieben! Log von MalwareBytes: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3186 Windows 5.1.2600 Service Pack 2 17.11.2009 13:29:30 mbam-log-2009-11-17 (13-29-30).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 147081 Laufzeit: 7 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Backdoor.Sinowal) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Log von Gmer: GMER 1.0.15.15227 - http://www.gmer.net Rootkit scan 2009-11-17 17:40:29 Windows 5.1.2600 Service Pack 2 Running: lh32q4e8.exe; Driver: c:\temp\pgtdipow.sys ---- System - GMER 1.0.15 ---- SSDT EC5C64DE ZwCreateKey SSDT EC5C64D4 ZwCreateThread SSDT EC5C64E3 ZwDeleteKey SSDT EC5C64ED ZwDeleteValueKey SSDT EC5C64F2 ZwLoadKey SSDT EC5C64C0 ZwOpenProcess SSDT EC5C64C5 ZwOpenThread SSDT EC5C64FC ZwReplaceKey SSDT EC5C64F7 ZwRestoreKey SSDT EC5C64E8 ZwSetValueKey SSDT EC5C64CF ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!ZwYieldExecution + 452 804E4C8C 4 Bytes CALL C23AA8F5 ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 412D1FF7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 412D1F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 412D1FBC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 412D1F04 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 412D1F3E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 412D2032 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 411817EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\IEXPLORE.EXE[552] ole32.dll!OleLoadFromStream 774FA257 5 Bytes JMP 412D21F4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc) Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip Scap.sys (Check Point Software Technologies) AttachedDevice \Driver\Tcpip \Device\Tcp Scap.sys (Check Point Software Technologies) Device IdeBusDr.sys (Intel Application Accelerator Driver/Intel Corporation) Device \Driver\usbhub \Device\00000091 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) Device \Driver\usbhub \Device\00000092 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) Device \Driver\usbhub \Device\00000093 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) Device \Driver\usbhub \Device\00000094 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) AttachedDevice \Driver\Tcpip \Device\Udp Scap.sys (Check Point Software Technologies) Device \Driver\usbhub \Device\00000096 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) AttachedDevice \Driver\Tcpip \Device\RawIp Scap.sys (Check Point Software Technologies) Device \Driver\usbuhci \Device\USBFDO-0 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) Device \Driver\usbuhci \Device\USBFDO-1 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) Device \Driver\usbuhci \Device\USBFDO-2 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) Device \Driver\usbehci \Device\USBFDO-3 hcmon.SYS (VMware USB Monitor/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00027202a6f6 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00027202a6f6@001783093fee 0xD7 0xB7 0x73 0x7E ... Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00027202a6f6 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00027202a6f6@001783093fee 0xD7 0xB7 0x73 0x7E ... Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ... Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ... Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xE9 0x02 0x6C 0xFA ... Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ... Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ... Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ... Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ... Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ... Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ... Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ... ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4 Disk \Device\Harddisk0\DR0 sector 62: copy of MBR Log von HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:41:45, on 17.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir Desktop\sched.exe D:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe C:\WINDOWS\Explorer.EXE C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\mgabg.exe C:\WINDOWS\System32\svchost.exe D:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\vmnat.exe C:\WINDOWS\System32\vmnetdhcp.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\rmctrl.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\aetcrss1.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Dit.exe C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe D:\Programme\Linksys\Linksys Surveillance Utility\Recorder.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe D:\Programme\Avira\AntiVir Desktop\avgnt.exe c:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe D:\Programme\Linksys\Linksys Surveillance Utility\Monitor.exe D:\Programme\Babylon\Babylon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe D:\Programme\SpamPal\spampal.exe C:\WINDOWS\system32\cidaemon.exe D:\Programme\Paymaker\HtmlShell.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\WINDOWS\system32\mstsc.exe T:\Programme\PMMail\PMMailw.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe D:\Malware\3.HJT\HJT.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: TrendProtect - {E3578B37-6346-4EC1-A82B-38273A100DCF} - C:\Programme\Trend Micro\TrendProtect\MSIE\wrs.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: TrendProtect - {F83BE649-1CC3-48EE-B2E2-0826CEF3822A} - C:\Programme\Trend Micro\TrendProtect\MSIE\wrs.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Nokia Tray Application] c:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CertificateRegistration] aetcrss1.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Recorder.exe] D:\Programme\Linksys\Linksys Surveillance Utility\Recorder.exe O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [NBJ] "D:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKCU\..\Run: [Babylon Translator] D:\Programme\Babylon\Babylon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: PCSuiteForNokia6600 Detect.lnk = ? O4 - Startup: PCSuiteForNokia6600 TS.lnk = ? O4 - Startup: Pinnacle ShowCenter StreamServer.lnk = ? O4 - Startup: SpamPal.lnk = D:\Programme\SpamPal\spampal.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = D:\Programme\OnlineUpdate\PeOnlineUpdate.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: View EXIF - C:\Programme\ViewEXIF\EXIF.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll O15 - Trusted Zone: http://www.masstisch.de O15 - Trusted Zone: http://www.nokia.ch O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab O16 - DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} (IfolorUploader Control) - http://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.3.cab O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - hXXp://download.rfwnad.com/cab/crack.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{8648123F-852E-4EC3-9095-32F8B1D5F934}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: trendprotect - {BC3A5F6F-12A0-4B14-A184-32939F413823} - C:\Programme\Trend Micro\TrendProtect\MSIE\wrs.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - C:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe O23 - Service: Matrox.Pdesk.ServicesHost - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - D:\Programme\Serv-U\ServUDaemon.exe (file missing) O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - D:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware NAT Service - Unknown owner - C:\WINDOWS\System32\vmnat.exe -- End of file - 13308 bytes Uninstall-List: 3D-Viewer-innoPlus AC3Filter (remove only) Ad-Aware Adobe Acrobat 5.0 Adobe AIR Adobe AIR Adobe Download Manager 2.0 (Remove Only) Adobe Flash Player 10 ActiveX Adobe Media Player Adobe Media Player Adobe Reader 7.0 - Deutsch AlarmMaster (remove only) Alien Skin Image Doctor 1.0 Demo AnyDVD Avance AC'97 Audio Avira AntiVir Personal - Free Antivirus Babylon Bubble Bubble Swim v1.0 C-CHANNEL e-banking (PAYMAKER / NetBanking) C-CHANNEL OnlineUpdate C-CHANNEL SwissMoney CD'n'Go! Suite 2.00 Check Point VPN-1 SecuRemote NGX R60 HFA1 Citrix ICA Web Client Citrix Presentation Server Client CloneCD CloneDVD2 dBpowerAMP Music Converter dBpowerAMP WMA V9 Codec DEUTSCHLAND SPIELT GAME CENTER Digital Image Recovery 1.47 DiscAPI (Studio 10) DivX dMC File Selector dMC Power Pack dMC SPA Removable Driver dMC Sveta Portable Audio Download-Central EasyTax 2002 AG 1.0 EasyTax 2003 AG 1.0 EasyTax 2004 AG 1.01 ohne Kursliste EasyTax 2005 AG EasyTax 2006 AG 1.0 ohne Kursliste EasyTax 2007 AG 1.02 EasyTax 2008 AG 1.0 EIBA ETS3 Starter eMule eMule 26d v.4 enAlarmPPC 3.3.0 end.net enAlarmPPC v3.2.3 eTax.schwyz 2003 Natürliche Personen eTax.schwyz 2004 nP 3.0.3 eTax.schwyz 2005 nP 4.0.3 eTax.schwyz 2006 nP 5.0.2 eTax.schwyz 2007 nP 6.0.1 ETS3 - InfoTerminal Touch Gira 1v03 ETS3 Professional Exifer Express ClickYes Gallery Constructor 2.0 Gentimer GetRight GIMP 2.6.6 Hauppauge WinTV Infrared Remote Hauppauge WinTV NT4/Win2000 Drivers Hauppauge WinTV Radio Hauppauge WinTV2000 Hex Workshop v4.10 HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix for Windows XP (KB909394) Hotfix for Windows XP (KB915865) Hotfix für Windows XP (KB914440) Hotfix für Windows XP (KB952287) Hotfix für Windows XP (KB961118) Hotfix für Windows XP (KB970653-v3) Hypothekarbank Lenzburg E-Identity ICQ ifolor Bestellsoftware 3.6 Intel Application Accelerator Ipswitch WS_FTP Pro IrfanView (remove only) iRiver Caption Editor IsoBuster 1.5 JAlbum Jasc Paint Shop Photo Album 5 Jasc Paint Shop Pro 8 Java(TM) 6 Update 6 Jumping Jeff L&H TTS3000 British English L&H TTS3000 Deutsch L&H TTS3000 Français L&H TTS3000 Italiano LDB Manager Linksys Surveillance Utility LiveUpdate 1.90 (Symantec Corporation) Logitech MouseWare 9.76 Macromedia Dreamweaver MX Macromedia Extension Manager Macromedia Fireworks MX Malwarebytes' Anti-Malware Matrox Graphics Software (remove only) Matrox PowerDesk-SE Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Security Update (KB953297) Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft ActiveSync Microsoft AutoRoute 2002 Microsoft Data Access Components KB870669 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office Professional Edition 2003 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Windows-Journal-Viewer mIRC Mobiclip (beta) MOTORRAD Tourenplaner Mozilla Firefox (2.0.0.11) MP3 MP3 (C:\Programme\mp3\) MSVRI Ref:152365234 MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 6 Service Pack 2 (KB954459) Multi-Card Reader & Flash Disk MySQL Connector/ODBC 3.51 Need for Speed Underground 2 Nero 6 Ultra Edition Network Tools Nokia PC Connectivity SDK 3.0a NVIDIA Drivers Palm Desktop PC Inspector smart recovery PC Suite für das Nokia 6600 Pinnacle device drivers Pinnacle Instant DVD Recorder Pinnacle MediaServer PlexTools PMMail 2000 PocketDict PowerDVD QuickTime QXL Ricardo Assistant 5 RAPID (Studio 10) ratDVD 0.78.1444 RealOne Player ROUTE 66 Route 2003 ROUTE 66 Route 2003 ROUTE 66 Route 2003 ROUTE 66 Route 2003 ROUTE 66 Route 2003 Roxio WinOnCD 5 Power Edition Roxio WinOnCD ServicePack 5.05 Semiolog Serials 2000 Serv-U Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB963027) Sicherheitsupdate für Windows Internet Explorer 7 (KB969897) Sicherheitsupdate für Windows Internet Explorer 7 (KB972260) Sicherheitsupdate für Windows Internet Explorer 7 (KB974455) Sicherheitsupdate für Windows Media Player (KB911564) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player (KB954155) Sicherheitsupdate für Windows Media Player (KB968816) Sicherheitsupdate für Windows Media Player (KB973540) Sicherheitsupdate für Windows Media Player 10 (KB911565) Sicherheitsupdate für Windows Media Player 10 (KB917734) Sicherheitsupdate für Windows Media Player 10 (KB936782) Sicherheitsupdate für Windows Media Player 6.4 (KB925398) Sicherheitsupdate für Windows XP (KB883939) Sicherheitsupdate für Windows XP (KB890046) Sicherheitsupdate für Windows XP (KB893756) Sicherheitsupdate für Windows XP (KB896358) Sicherheitsupdate für Windows XP (KB896422) Sicherheitsupdate für Windows XP (KB896423) Sicherheitsupdate für Windows XP (KB896424) Sicherheitsupdate für Windows XP (KB896428) Sicherheitsupdate für Windows XP (KB896688) Sicherheitsupdate für Windows XP (KB899587) Sicherheitsupdate für Windows XP (KB899588) Sicherheitsupdate für Windows XP (KB899589) Sicherheitsupdate für Windows XP (KB899591) Sicherheitsupdate für Windows XP (KB900725) Sicherheitsupdate für Windows XP (KB901017) Sicherheitsupdate für Windows XP (KB901190) Sicherheitsupdate für Windows XP (KB901214) Sicherheitsupdate für Windows XP (KB902400) Sicherheitsupdate für Windows XP (KB903235) Sicherheitsupdate für Windows XP (KB904706) Sicherheitsupdate für Windows XP (KB905414) Sicherheitsupdate für Windows XP (KB905749) Sicherheitsupdate für Windows XP (KB905915) Sicherheitsupdate für Windows XP (KB908519) Sicherheitsupdate für Windows XP (KB911562) Sicherheitsupdate für Windows XP (KB911567) Sicherheitsupdate für Windows XP (KB911927) Sicherheitsupdate für Windows XP (KB912812) Sicherheitsupdate für Windows XP (KB912919) Sicherheitsupdate für Windows XP (KB913446) Sicherheitsupdate für Windows XP (KB913580) Sicherheitsupdate für Windows XP (KB914388) Sicherheitsupdate für Windows XP (KB914389) Sicherheitsupdate für Windows XP (KB916281) Sicherheitsupdate für Windows XP (KB917159) Sicherheitsupdate für Windows XP (KB917344) Sicherheitsupdate für Windows XP (KB917422) Sicherheitsupdate für Windows XP (KB917953) Sicherheitsupdate für Windows XP (KB918118) Sicherheitsupdate für Windows XP (KB918439) Sicherheitsupdate für Windows XP (KB918899) Sicherheitsupdate für Windows XP (KB919007) Sicherheitsupdate für Windows XP (KB920213) Sicherheitsupdate für Windows XP (KB920214) Sicherheitsupdate für Windows XP (KB920670) Sicherheitsupdate für Windows XP (KB920683) Sicherheitsupdate für Windows XP (KB920685) Sicherheitsupdate für Windows XP (KB921398) Sicherheitsupdate für Windows XP (KB921503) Sicherheitsupdate für Windows XP (KB921883) Sicherheitsupdate für Windows XP (KB922616) Sicherheitsupdate für Windows XP (KB922760) Sicherheitsupdate für Windows XP (KB922819) Sicherheitsupdate für Windows XP (KB923191) Sicherheitsupdate für Windows XP (KB923414) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB923689) Sicherheitsupdate für Windows XP (KB923694) Sicherheitsupdate für Windows XP (KB923980) Sicherheitsupdate für Windows XP (KB924191) Sicherheitsupdate für Windows XP (KB924270) Sicherheitsupdate für Windows XP (KB924496) Sicherheitsupdate für Windows XP (KB924667) Sicherheitsupdate für Windows XP (KB925454) Sicherheitsupdate für Windows XP (KB925486) Sicherheitsupdate für Windows XP (KB925902) Sicherheitsupdate für Windows XP (KB926255) Sicherheitsupdate für Windows XP (KB926436) Sicherheitsupdate für Windows XP (KB927779) Sicherheitsupdate für Windows XP (KB927802) Sicherheitsupdate für Windows XP (KB928090) Sicherheitsupdate für Windows XP (KB928255) Sicherheitsupdate für Windows XP (KB928843) Sicherheitsupdate für Windows XP (KB929123) Sicherheitsupdate für Windows XP (KB929969) Sicherheitsupdate für Windows XP (KB930178) Sicherheitsupdate für Windows XP (KB931261) Sicherheitsupdate für Windows XP (KB931768) Sicherheitsupdate für Windows XP (KB931784) Sicherheitsupdate für Windows XP (KB932168) Sicherheitsupdate für Windows XP (KB933566) Sicherheitsupdate für Windows XP (KB933729) Sicherheitsupdate für Windows XP (KB935839) Sicherheitsupdate für Windows XP (KB935840) Sicherheitsupdate für Windows XP (KB936021) Sicherheitsupdate für Windows XP (KB937143) Sicherheitsupdate für Windows XP (KB937894) Sicherheitsupdate für Windows XP (KB938127) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB938829) Sicherheitsupdate für Windows XP (KB939653) Sicherheitsupdate für Windows XP (KB941202) Sicherheitsupdate für Windows XP (KB941568) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB941644) Sicherheitsupdate für Windows XP (KB941693) Sicherheitsupdate für Windows XP (KB942615) Sicherheitsupdate für Windows XP (KB943055) Sicherheitsupdate für Windows XP (KB943460) Sicherheitsupdate für Windows XP (KB943485) Sicherheitsupdate für Windows XP (KB944338) Sicherheitsupdate für Windows XP (KB944533) Sicherheitsupdate für Windows XP (KB944653) Sicherheitsupdate für Windows XP (KB945553) Sicherheitsupdate für Windows XP (KB946026) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB947864) Sicherheitsupdate für Windows XP (KB948590) Sicherheitsupdate für Windows XP (KB948881) Sicherheitsupdate für Windows XP (KB950749) Sicherheitsupdate für Windows XP (KB950759) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953838) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956390) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB956844) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958215) Sicherheitsupdate für Windows XP (KB958470) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB958869) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960714) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB960859) Sicherheitsupdate für Windows XP (KB961371) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB961501) Sicherheitsupdate für Windows XP (KB963027) Sicherheitsupdate für Windows XP (KB968537) Sicherheitsupdate für Windows XP (KB969059) Sicherheitsupdate für Windows XP (KB969898) Sicherheitsupdate für Windows XP (KB969947) Sicherheitsupdate für Windows XP (KB970238) Sicherheitsupdate für Windows XP (KB971032) Sicherheitsupdate für Windows XP (KB971486) Sicherheitsupdate für Windows XP (KB971557) Sicherheitsupdate für Windows XP (KB971633) Sicherheitsupdate für Windows XP (KB971657) Sicherheitsupdate für Windows XP (KB971961) Sicherheitsupdate für Windows XP (KB973346) Sicherheitsupdate für Windows XP (KB973354) Sicherheitsupdate für Windows XP (KB973507) Sicherheitsupdate für Windows XP (KB973525) Sicherheitsupdate für Windows XP (KB973869) Sicherheitsupdate für Windows XP (KB974112) Sicherheitsupdate für Windows XP (KB974571) Sicherheitsupdate für Windows XP (KB975025) Sicherheitsupdate für Windows XP (KB975467) Skype 3.0 Skype add-on for IE Skype Plugin Manager SmartSound Quicktracks Plugin SnagIt 8 SpamPal Spybot - Search & Destroy Spybot - Search & Destroy 1.5.2.20 Studio 10 Studio 10.5.2 Patch Symantec Ghost Console and Standard Tools Synology Download Redirector TextPad 4.7 Trend Micro TrendProtect for Internet Explorer TVgenial TwixTel UBS BESR e-list UBS BESR e-list 4.1.003 (build 1, OFX) UBSPay UBSPay 5.0.002 (build 1, OFX) UBSPay PayNet Extension 1.0.004 (b1) Update for Microsoft .NET Framework 3.5 SP1 (KB963707) Update für Windows Internet Explorer 7 (KB976749) Update für Windows XP (KB894391) Update für Windows XP (KB896727) Update für Windows XP (KB898461) Update für Windows XP (KB900485) Update für Windows XP (KB904942) Update für Windows XP (KB908531) Update für Windows XP (KB910437) Update für Windows XP (KB911280) Update für Windows XP (KB916595) Update für Windows XP (KB920872) Update für Windows XP (KB922582) Update für Windows XP (KB925720) Update für Windows XP (KB927891) Update für Windows XP (KB929338) Update für Windows XP (KB930916) Update für Windows XP (KB931836) Update für Windows XP (KB932823-v3) Update für Windows XP (KB933360) Update für Windows XP (KB936357) Update für Windows XP (KB938828) Update für Windows XP (KB942763) Update für Windows XP (KB942840) Update für Windows XP (KB946627) Update für Windows XP (KB951072-v2) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Update für Windows XP (KB968389) Update für Windows XP (KB973815) USB STORM TROOPER GAME PAD VEKA CD-ROM 2006 Version CH 5.0 VideoLAN VLC media player Visual Zip Password Recovery Processor VLC media player 0.9.8a VMware Workstation VTPlus32 für WinTV (German) WIDCOMM Bluetooth Software Winamp (remove only) Windows Imaging Component Windows Installer 3.1 (KB893803) Windows Installer 3.1 (KB893803) Windows Internet Explorer 7 Windows Live Messenger Windows Live Sign-in Assistant Windows Media Connect Windows Media Connect Windows Media Format Runtime Windows Media Player 10 Windows Media Player 10 Hotfix - KB894476 Windows XP Service Pack 2 Windows XP-Hotfix - KB834707 Windows XP-Hotfix - KB867282 Windows XP-Hotfix - KB873333 Windows XP-Hotfix - KB873339 Windows XP-Hotfix - KB885250 Windows XP-Hotfix - KB885835 Windows XP-Hotfix - KB885836 Windows XP-Hotfix - KB885884 Windows XP-Hotfix - KB886185 Windows XP-Hotfix - KB887472 Windows XP-Hotfix - KB887742 Windows XP-Hotfix - KB888113 Windows XP-Hotfix - KB888302 Windows XP-Hotfix - KB890047 Windows XP-Hotfix - KB890175 Windows XP-Hotfix - KB890859 Windows XP-Hotfix - KB890923 Windows XP-Hotfix - KB891781 Windows XP-Hotfix - KB893066 Windows XP-Hotfix - KB893086 WinImage WinRAR archiver WinVNC 3.3.3 WinZip WinZip Self-Extractor XviD Video Codec 24062003-1 (Koepi's developer build) Yahoo! Messenger Zero Assumption Recovery Version 7.9 ZROM |
|
|
|
|
|
|
18.11.2009, 10:04
Moderator
Beiträge: 5694 |
#4
Ich werde mich noch um die Logs kümmern am Abend.
|
|
|
|
|
|
|
18.11.2009, 10:48
...neu hier
Themenstarter Beiträge: 10 |
#5
Salü
Ich habe mittlerweile auf allen 3 Disks den MBR via WinXP Wiederherstellungskonsole neu geschrieben. Bei den beiden Disks O und N ist nun der Bootblock-Virus weg, bei der Bootdisk jedoch meldet Gmer immer noch dass was komisch ist: GMER 1.0.15.15227 - http://www.gmer.net Rootkit quick scan 2009-11-18 10:42:36 Windows 5.1.2600 Service Pack 2 Running: lh32q4e8.exe; Driver: c:\temp\pgtdipow.sys ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4 Disk \Device\Harddisk0\DR0 sector 62: copy of MBR ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip Scap.sys (Check Point Software Technologies) AttachedDevice \Driver\Tcpip \Device\RawIp Scap.sys (Check Point Software Technologies) AttachedDevice \Driver\Tcpip \Device\Tcp Scap.sys (Check Point Software Technologies) AttachedDevice \Driver\Tcpip \Device\Udp Scap.sys (Check Point Software Technologies) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc) AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc) ---- EOF - GMER 1.0.15 ---- Avira hat dort aber noch nie was gemeldet. Ich lasse derzeit nochmals einen vollständigen Avira-check laufen und noch einen Gmer und Malwarebytes....mal sehen ob die noch was melden. Könnte der Gmer auch einen Fehlalarm melden. Die Bootdisk ist aufgeteilt in 3 Partitionen. Gruss und Danke Lukas |
|
|
|
|
|
|
18.11.2009, 23:21
Moderator
Beiträge: 5694 |
#6
MBR wiederherstellen Entweder so: • Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu. • Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird. • Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort. • Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole. • Nun gebe folgenden Befehl ein: • fixmbr oder so: • Kopiere die Datei mbr.exe nach C:\Windows\system32 • Start => ausführen => cmd (da reinschreiben) => OK • es öffnet sich ein Dosfenster • bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken) • und ggfs. den Anweisungen folgen. und installiere Dir doch bitte noch das ServicePack3 für XP. |
|
|
|
|
|
|
19.11.2009, 06:17
...neu hier
Themenstarter Beiträge: 10 |
#7
Salü
eben, mbr hab ich neu geschrieben, trotzdem meldet gmer immer noch was komisches....sieh letze Meldung....was meinst du dazu? Virenscann mit Antivir meldet nichts mehr. Gruss Lukas |
|
|
|
|
|
|
19.11.2009, 18:33
Moderator
Beiträge: 5694 |
#8
Hast Du Dir das Servicepack3 installiert und danach nochmals MBR angewendet?
|
|
|
|
|
|
|
19.11.2009, 23:07
...neu hier
Themenstarter Beiträge: 10 |
#9
mmh...auch nach sp3 und fixmbr immer noch gleich:
GMER 1.0.15.15227 - http://www.gmer.net Rootkit quick scan 2009-11-19 23:06:30 Windows 5.1.2600 Service Pack 3 Running: lh32q4e8.exe; Driver: c:\temp\pgtdipow.sys ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4 Disk \Device\Harddisk0\DR0 sector 62: copy of MBR ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc) AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip Scap.sys (Check Point Software Technologies) AttachedDevice \Driver\Tcpip \Device\Tcp Scap.sys (Check Point Software Technologies) AttachedDevice \Driver\Tcpip \Device\Udp Scap.sys (Check Point Software Technologies) AttachedDevice \Driver\Tcpip \Device\RawIp Scap.sys (Check Point Software Technologies) ---- EOF - GMER 1.0.15 ---- |
|
|
|
|
|
|
22.11.2009, 13:08
Moderator
Beiträge: 5694 |
#10
Sorry, hatte die Tage wenig Zeit.
Lade Combofix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast. Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen. |
|
|
|
|
|
|
22.11.2009, 21:09
...neu hier
Themenstarter Beiträge: 10 |
#11
Salü
Hier das Log: ComboFix 09-11-21.03 - Lukas 22.11.2009 13:39.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.1024.591 [GMT 1:00] ausgeführt von:: d:\malware\4. Combofix\Test.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\INSTALL.LOG c:\windows\regedit.com c:\windows\system32\win.ini . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SERV-U -------\Legacy_WINDOWS_LOG -------\Service_Serv-U ((((((((((((((((((((((( Dateien erstellt von 2009-10-22 bis 2009-11-22 )))))))))))))))))))))))))))))) . 2009-11-22 19:58 . 2009-11-22 19:58 53248 ----a-w- c:\temp\catchme.dll 2009-11-22 11:00 . 2009-07-21 13:40 404737 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe 2009-11-22 11:00 . 2008-10-20 07:38 126721 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll 2009-11-19 21:59 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll 2009-11-19 21:57 . 2009-11-19 21:57 -------- d-----w- c:\temp\babylon_data 2009-11-19 21:14 . 2008-04-13 21:06 144384 ------w- c:\windows\system32\drivers\hdaudbus.sys 2009-11-19 21:14 . 2008-04-13 23:10 10240 ------w- c:\windows\system32\drivers\sffp_mmc.sys 2009-11-17 12:20 . 2009-11-17 12:20 -------- d-----w- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Malwarebytes 2009-11-17 12:20 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-11-17 12:20 . 2009-11-17 12:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-17 12:20 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-11-16 20:08 . 2009-11-16 20:08 10 ----a-w- C:\fix.bat 2009-11-16 20:08 . 2009-11-16 20:01 77312 ----a-w- C:\mbr.exe 2009-11-16 19:27 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-16 19:27 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-11-16 19:27 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-11-16 19:27 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-11-16 19:27 . 2009-11-16 19:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-11-09 19:03 . 2009-11-09 19:03 40960 ----a-r- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Microsoft\Installer\{6347401C-C260-4B30-9816-8F5A1419CC49}\NewShortcut6_6347401CC2604B3098168F5A1419CC49.exe 2009-11-09 19:03 . 2009-11-09 19:03 1078 ----a-r- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Microsoft\Installer\{6347401C-C260-4B30-9816-8F5A1419CC49}\ARPPRODUCTICON.exe 2009-11-09 19:03 . 2009-11-09 19:03 -------- d-----w- c:\programme\Hypothekarbank Lenzburg 2009-11-01 19:43 . 2009-11-01 21:05 -------- d-----w- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\gtk-2.0 2009-11-01 19:36 . 2009-11-01 19:36 -------- d-----w- c:\dokumente und einstellungen\Lukas\.thumbnails 2009-11-01 19:35 . 2009-11-01 21:06 -------- d-----w- c:\dokumente und einstellungen\Lukas\.gimp-2.6 2009-11-01 19:35 . 2009-11-01 19:35 -------- d-----w- c:\dokumente und einstellungen\Lukas\.gegl-0.0 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-22 12:59 . 2001-08-18 12:00 92960 ----a-w- c:\windows\system32\perfc007.dat 2009-11-22 12:59 . 2001-08-18 12:00 480152 ----a-w- c:\windows\system32\perfh007.dat 2009-11-22 12:55 . 2003-05-19 16:12 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware 2009-11-22 12:55 . 2003-05-16 21:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware 2009-11-19 22:04 . 2006-02-10 22:35 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS 2009-11-19 21:22 . 2003-04-19 10:42 86327 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat 2009-11-19 21:11 . 2005-10-27 19:07 -------- d-----w- c:\programme\Argos Mini II 2009-11-17 17:47 . 2007-10-21 17:55 -------- d-----w- c:\programme\Gemeinsame Dateien\EIBA sc 2009-11-09 19:01 . 2003-04-20 08:47 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-11-09 19:01 . 2005-10-27 19:06 -------- d-----w- c:\programme\HBL_E-Identity 2009-09-30 21:35 . 2009-09-30 19:53 -------- d-----w- c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Download Manager 2009-09-11 14:17 . 2001-08-18 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-04 21:03 . 2001-08-18 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-08-29 07:24 . 2004-11-11 18:50 832512 ----a-w- c:\windows\system32\wininet.dll 2009-08-29 07:24 . 2004-08-04 07:57 78336 ------w- c:\windows\system32\ieencode.dll 2009-08-29 07:24 . 2001-08-18 12:00 17408 ------w- c:\windows\system32\corpol.dll 2009-08-26 08:00 . 2003-04-19 11:07 247326 ----a-w- c:\windows\system32\strmdll.dll 2004-03-02 22:24 . 2003-05-09 22:41 560 ----a-w- c:\programme\Global.sw 2002-07-26 15:02 . 2006-05-30 18:13 153088 ----a-w- c:\programme\UNWISE.EXE 2008-04-14 06:52 . 2001-08-18 12:00 617472 --sha-w- c:\windows\system32\comctl32.dll 2008-04-14 06:52 . 2001-08-18 12:00 1028096 --sha-w- c:\windows\system32\mfc42.dll 2008-04-14 06:52 . 2003-04-19 11:07 413696 --sha-w- c:\windows\system32\msvcp60.dll 2008-04-14 06:52 . 2003-04-19 11:07 343040 --sha-w- c:\windows\system32\msvcrt.dll 2001-08-18 12:00 . 2001-08-18 12:00 253952 --sha-w- c:\windows\system32\msvcrt20.dll 2008-04-14 06:52 . 2004-01-15 20:55 30749 --sha-w- c:\windows\system32\vbajet32.dll 1998-05-18 01:06 . 2003-11-09 15:29 368912 --sha-w- c:\windows\system32\VBAR332.DLL . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBJ"="d:\programme\Ahead\Nero BackItUp\nbj.exe" [2005-01-04 1937408] "Babylon Translator"="d:\programme\Babylon\Babylon.exe" [2003-02-19 2535495] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RemoteControl"="c:\windows\System32\rmctrl.exe" [2001-11-09 32768] "QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2003-05-27 77824] "CloneCDElbyCDFL"="d:\programme\CloneCD\ElbyCheck.exe" [2002-11-02 45056] "Nokia Tray Application"="c:\programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" [2003-02-10 425984] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-04-03 151597] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216] "USBToolTip"="c:\programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" [2006-01-23 196608] "PinnacleDriverCheck"="c:\windows\system32\\PSDrvCheck.exe" [2004-03-10 406016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-09 86016] "Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2007-09-11 1910016] "avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Malwarebytes Anti-Malware (reboot)"="d:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2002-08-15 46592] "Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2003-03-04 19968] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-03-09 1519616] "CertificateRegistration"="aetcrss1.exe" - c:\windows\system32\aetcrss1.exe [2006-05-19 45056] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] "Dit"="Dit.exe" - c:\windows\Dit.exe [2004-09-22 90112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Lukas\Startmen\Programme\Autostart\ PCSuiteForNokia6600 Detect.lnk - c:\programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe [2005-1-28 196608] PCSuiteForNokia6600 TS.lnk - c:\programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe [2005-1-28 258112] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] C-CHANNEL OnlineUpdate.lnk - d:\programme\OnlineUpdate\PeOnlineUpdate.exe [2005-10-22 993096] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify] 2006-04-09 18:59 24674 ----a-w- c:\windows\system32\ckpNotify.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\emule\\emule.exe"= "c:\\Programme\\Intuwave\\Shared\\mRouterRunTime\\mRouterRuntime.exe"= "d:\\Internet\\ICQ\\Icq.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\svchost.exe"= "d:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"= "d:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"= "d:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"= "d:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"= "c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SERVICE.EXE"= "c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.EXE"= "c:\\Programme\\CheckPoint\\SecuRemote\\bin\\SCC.EXE"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "d:\\Programme\\Skype\\Phone\\Skype.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "d:\\Programme\\Yahoo!\\Messenger\\YPager.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [29.08.2007 03:04 116264] R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [16.11.2009 20:27 108289] R2 CP_OMDRV;Check Point Office Mode Module;c:\windows\system32\drivers\omdrv.sys [01.04.2007 12:32 36400] R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [11.09.2007 14:17 500992] R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [11.09.2007 14:16 177408] R2 Scap;SecureClient Application Policy Module;c:\windows\system32\drivers\scap.sys [08.06.2005 18:28 17456] R2 VNASC;Check Point Virtual Network Adapter - SecureClient;c:\windows\system32\drivers\vnasc.sys [01.04.2007 12:33 109072] R2 VPN-1;VPN-1 Module;c:\windows\system32\drivers\vpn.sys [08.06.2005 18:28 671472] R3 FW1;SecuRemote Miniport;c:\windows\system32\drivers\fw.sys [08.06.2005 18:28 2234320] R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [07.05.2004 18:21 6400] R3 TodosAgmII;Driver for Todos Argos Mini II USB;c:\windows\system32\drivers\AgmIIusb.sys [23.11.2004 15:37 17152] S2 IFP300;iRiver Internet Audio Player IFP-300;c:\windows\system32\DRIVERS\ifp300.sys --> c:\windows\system32\DRIVERS\ifp300.sys [?] S3 3xHybrid;Pinnacle PCTV Stereo service;c:\windows\system32\drivers\3xHybrid.sys [05.12.2003 11:56 556416] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [10.02.2006 23:35 17408] S3 HCW848NT;Hauppauge Win/TV;c:\windows\system32\drivers\HCW848NT.sys [30.04.2003 22:41 140440] S3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8xx.sys [27.04.2003 11:37 427588] S3 OMVA;VPN-1 SecureClient Adapter;c:\windows\system32\drivers\OMVA.sys [08.06.2005 18:28 14924] S3 Pei10Wdm;PEI10 Protokoll Treiber;c:\windows\system32\drivers\Pei10Wdm.sys [15.08.2002 08:20 35547] S3 Pei16Wdm;PEI16 Protokoll Treiber;c:\windows\system32\drivers\Pei16Wdm.sys [19.09.2002 20:07 34683] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\aetsprov] c:\windows\system32\regsvr32.exe /s c:\windows\system32\aetsprov.dll . Inhalt des "geplante Tasks" Ordners 2008-01-17 c:\windows\Tasks\PowerOff.job - c:\batch\PowerOff.bat [2008-01-17 20:58] 2005-01-20 c:\windows\Tasks\TASK20050120195817.job - d:\internet\WS_FTP Pro\wsftppro.exe [2003-05-20 15:56] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: View EXIF - c:\programme\ViewEXIF\EXIF.htm Trusted Zone: masstisch.de\www Trusted Zone: nokia.ch\www TCP: {8648123F-852E-4EC3-9095-32F8B1D5F934} = 192.168.2.1 DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab FF - ProfilePath - c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Mozilla\Firefox\Profiles\4sf98yai.default\ FF - component: d:\programme\Mozilla Firefox\components\xpinstal.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file) AddRemove-Download-Central - c:\windows\Coder\_1-dow-1-0-.exe AddRemove-end.net enAlarmPPC v3.2.3 - c:\programme\Microsoft ActiveSync\end.net AddRemove-mIRC - d:\programme\mirc\GermanFunScript\mirc.exe AddRemove-UBS BESR e-list - d:\programme\UBS BESR\DeIsL2.isu ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-22 20:58 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1060) c:\windows\system32\aetcsss1.dll c:\windows\system32\aetpkss1.dll - - - - - - - > 'explorer.exe'(1836) c:\programme\Logitech\MouseWare\System\LgWndHk.dll c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll d:\programme\Babylon\CAPTLIB.DLL . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\CheckPoint\SecuRemote\bin\SR_Service.exe c:\programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe c:\programme\Lavasoft\Ad-Aware\aawservice.exe c:\windows\System32\SCardSvr.exe d:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\windows\system32\mgabg.exe c:\windows\System32\locator.exe c:\windows\system32\wdfmgr.exe c:\windows\System32\vmnetdhcp.exe c:\programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe c:\programme\Logitech\MouseWare\system\em_exec.exe c:\windows\system32\rundll32.exe c:\programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe c:\progra~1\MICROS~4\rapimgr.exe c:\progra~1\Nokia\PCSUIT~1\Elogerr.exe d:\programme\SpamPal\spampal.exe c:\programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe c:\progra~1\Nokia\PCSUIT~1\BROADC~1.EXE c:\progra~1\Nokia\PCSUIT~1\SCRFS.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-11-22 21:05 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-11-22 20:05 Vor Suchlauf: 17 Verzeichnis(se), 11'011'981'312 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 10'875'256'832 Bytes frei - - End Of File - - EE3F60911C526B2DBE8892FA5B7CA46C |
|
|
|
|
|
|
22.11.2009, 22:45
Moderator
Beiträge: 5694 |
#12
Was hast DU hier:
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - hXXp://download.rfwnad.com/cab/crack.CAB >> Einträge mit HijackThis fixen Bitte alle Anwendungen inkl. Browser schließen und folgende Einträge mit HJT fixen (falls noch vorhanden): Starte HijackThis (bei Vista mit Rechtsklick als Adminstrator) => Do a system scan only => mache vor folgenden Zeilen einen Haken klicke und dann "Fix checked": Code O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - hXXp://download.rfwnad.com/cab/crack.CAB Den Rechner neu starten.>> Filesharing Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen. Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren Zitat emule>> Hast Du diesen Task angelegt: c:\windows\Tasks\TASK20050120195817.job >> Downloade NoLop und speichere es auf Deinem Desktop. • Schließe alle laufenden Programme, da das Tool den Rechner neu starten wird. • Doppelklicke die NoLop.exe, um das Tool zu starten. • Klicke den Search and Destroy-Button. • Die infizierten Dateien werden gesucht. • Wenn der Scan beendet ist wirst Du nur dann zum Reboot aufgefordert, wenn infizierte Dateien gefunden. • Ist das der Fall, klicke auf den REBOOT-Button. • Von NoLop kann eine Nachricht erscheinen. Bestätige, dann wird das Programm beendet. • Wenn keine Nachricht von NoLop erscheint, bitte das Tool erneut doppelklicken und es wird die Bereinigung beenden. • Kopiere den Inhalt von C:\NoLop.log hier in den Thread. Solltest Du diese Fehlermeldung erhalten: mscomctl.ocx or one of its dependencies are not correctly registered, bitte lade Dir mscomctl.ocx herunter und speichere das im Ordner C:\Windows\system32 und lasse anschließend das Tool erneut laufen. |
|
|
|
|
|
|
23.11.2009, 21:57
...neu hier
Themenstarter Beiträge: 10 |
#13
Eintrag war bereits leer, hab ihn jetzt ganz gelöscht
Emule deinstalliert Task war wohl von Wsftp....könnte gut von mir sein. Hab jetzt noch einen deaktivierten Task für einen Daily Shutdown, machte ich mal ne Zeit lang. Nolop-Link ging nicht, habs hier gefunden: http://virus-protect.org/artikel/tools/nolop.html Werde es nun starten. |
|
|
|
|
|
|
23.11.2009, 21:58
Moderator
Beiträge: 5694 |
#14
Ja mach es von dort aus.
|
|
|
|
|
|
|
23.11.2009, 21:59
...neu hier
Themenstarter Beiträge: 10 |
#15
Log:
NoLop! Log by Skate_Punk_21 Fix running from: D:\Malware\5. Nolop [23.11.2009] [21:57:47] ---Infection Files Found/Removed--- NO INFECTION FILES FOUND - Cleaning Aborted. ---Listing AppData sub directories--- C:\Dokumente und Einstellungen\Alexandra\Application Data\Microsoft C:\Dokumente und Einstellungen\Lukas\Application Data\Adobe C:\Dokumente und Einstellungen\Lukas\Application Data\Microsoft C:\Dokumente und Einstellungen\Lukas\Application Data\Pgp |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Mein Antivir meldet, er findet auf allen meinen Disks BOO/Sinowal.C.
mbr.exe ergibt folgendes Log:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user: MBR read successfully
user & kernel MBR OK
kernel: error reading MBR
malicious code @ sector 0x1749ddc1 size 0x1e4 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x01749DDC1 !
Wer kann mir helfen?
Sind 3 Ide Disks und 1x SATA.
PC läuft soweit ok.
Weiss jemand was der Virus macht?