Malwarebytes Trojan.Agent gefunden

#1 hallo,
der rechner meiner mitbewohnerin spinnt in letzter zeit sehr. stürzt ständig ab, bootet einfach neu und ist extrem langsam geworden.
heute bemerkte ich, dass der virenscanner: "avast" inaktiv war, er ging auch nicht mehr zu aktivieren. bei einigen programmen stürzte der pc auch wieder ab: GMER, SUPERAntiSpyware und einigen antivirenscanner-bzw. onlinescannern.
ich habe dann die variante gewählt, um überhaupt zu sehen, ob ein virus dahintersteckt.
http://board.protecus.de/t38714.htm
und Malwarebytes hat einen Trojan.Agent gefunden (siehe Anhang).
bisher habe ich noch nichts unternommen, weder gelöscht oder dergleichen, ich warte lieber auf kompetente unterstützung hier im forum.

schon mal lieben dank, panama

#2 Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

#3

Code

OTL logfile created on: 24.01.2010 11:13:45 - Run 1
OTL by OldTimer - Version 3.1.26.0     Folder = C:\Dokumente und Einstellungen\Scaleo-600\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 663,00 Mb Available Physical Memory | 65,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,08 Gb Total Space | 13,35 Gb Free Space | 34,16% Space Free | Partition Type: NTFS
Drive D: | 72,70 Gb Total Space | 1,26 Gb Free Space | 1,73% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: S******
Current User Name: Scaleo-600
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Scaleo-600\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\system32\TUProgSt.exe (TuneUp Software)
PRC - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
PRC - C:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
PRC - C:\WINDOWS\system32\wscntfy.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
PRC - C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
PRC - C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Scaleo-600\Desktop\OTL.exe (OldTimer Tools)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (TuneUp.ProgramStatisticsSvc) -- C:\WINDOWS\system32\TUProgSt.exe (TuneUp Software)
SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software)
SRV - (NBService) -- C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe (Nero AG)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (InCDsrv) -- C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
SRV - (NVSvc) -- C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (ACEDRV06) -- C:\WINDOWS\system32\drivers\ACEDRV06.sys (Protect Software GmbH)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (Pcouffin) -- C:\WINDOWS\system32\drivers\Pcouffin.sys (VSO Software)
DRV - (tap0801) -- C:\WINDOWS\system32\drivers\tap0801.sys (The OpenVPN Project)
DRV - (InCDfs) -- C:\WINDOWS\system32\drivers\InCDfs.sys (Nero AG)
DRV - (incdrm) -- C:\WINDOWS\system32\drivers\InCDrm.sys (Nero AG)
DRV - (InCDPass) -- C:\WINDOWS\system32\drivers\InCDpass.sys (Nero AG)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (imagesrv) -- C:\WINDOWS\system32\DRIVERS\imagesrv.sys (Ahead Software AG)
DRV - (imagedrv) -- C:\WINDOWS\System32\Drivers\imagedrv.sys (Ahead Software AG)
DRV - (AN983) -- C:\WINDOWS\system32\drivers\an983.sys (ADMtek Incorporated.)
DRV - (STAC97) -- C:\WINDOWS\system32\drivers\STAC97.sys (SigmaTel, Inc.)
DRV - (VPCNetS2) -- C:\WINDOWS\system32\drivers\VMNetSrv.sys (Microsoft Corporation)
DRV - (viaagp1) -- C:\WINDOWS\System32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (BrPar) -- C:\WINDOWS\System32\drivers\BrPar.sys (Brother Industries Ltd.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.startup.homepage: "http://www.seafight.de"
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.4\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.11.07 17:01:59 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.4\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.12 12:50:12 | 00,000,000 | ---D | M]
 
[2008.07.12 00:38:16 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.06.18 22:13:20 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org
[2007.07.18 22:24:36 | 00,066,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jar50.dll
[2007.07.18 22:24:36 | 00,054,376 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jsd3250.dll
[2007.07.18 22:24:36 | 00,034,952 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\myspell.dll
[2007.07.18 22:24:37 | 00,046,720 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\spellchk.dll
[2007.07.18 22:24:37 | 00,172,144 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\xpinstal.dll
[2007.06.10 11:43:52 | 00,719,064 | ---- | M] (1 mal 1 Software GmbH) -- C:\Programme\Mozilla Firefox\plugins\NpFv415.dll
[2006.11.09 15:20:00 | 02,111,096 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPSWF32.dll
[2006.08.24 22:07:50 | 00,001,525 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2006.08.24 22:07:50 | 00,001,063 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2007.03.07 18:21:47 | 00,000,998 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2007.03.07 18:21:47 | 00,000,815 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.11.07 17:25:59 | 00,000,789 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts:     127.0.0.1        localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe ()
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Domains: seafight.com ([www] https in Trusted sites)
O15 - HKCU\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab (F-Secure Online Scanner Launcher)
O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} http://quickscan.bitdefender.com/qsax/qsax.cab (qsax Control)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} http://www.pixum.de/int/EasyUpload/ImgUploader.cab (Pixum EasyUploadX Control)
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} http://www.flatcast.com/obj/NpFv415.dll (Flatcast Viewer 4.15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2006.04.25 11:22:52 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.01.24 11:08:59 | 00,547,328 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\OTL.exe
[2010.01.24 00:07:33 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Scaleo-600\Anwendungsdaten\QuickScan
[2010.01.23 23:41:06 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Scaleo-600\Recent
[2010.01.23 22:21:21 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.23 22:21:19 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.23 22:21:19 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.23 20:37:44 | 00,000,000 | ---D | C] -- C:\Avenger
[2010.01.23 20:34:48 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\Malwarebytes muss ins netz
[2010.01.23 13:04:16 | 00,000,000 | ---D | C] -- C:\Programme\z-defrag
[2010.01.23 13:03:05 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Favoriten
[2010.01.23 12:24:30 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Scaleo-600\Anwendungsdaten\SUPERAntiSpyware.com
[2010.01.23 12:24:30 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.01.23 12:20:13 | 00,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2010.01.22 22:39:02 | 00,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Scaleo-600\IECompatCache
[2010.01.12 20:39:59 | 00,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2010.01.12 12:39:02 | 00,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\ODBC
[2010.01.12 12:37:42 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Scaleo-600\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
[2010.01.12 12:37:33 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
[2010.01.09 17:25:16 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Scaleo-600\Anwendungsdaten\Duden
[2010.01.09 17:24:32 | 00,000,000 | ---D | C] -- C:\Programme\Duden
[2010.01.09 17:24:15 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIFAB
[2010.01.05 20:17:57 | 00,077,824 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\brlmw03a.dll
[2010.01.05 20:17:57 | 00,024,223 | ---- | C] (Brother Industries, Ltd) -- C:\WINDOWS\System32\brlm03a.dll
[2010.01.05 20:17:57 | 00,019,537 | ---- | C] (Brother Industries Ltd.) -- C:\WINDOWS\System32\drivers\BRPAR.SYS
[2010.01.05 20:17:56 | 00,000,000 | ---D | C] -- C:\Programme\Brownie
[2010.01.05 20:17:25 | 00,192,512 | ---- | C] (brother) -- C:\WINDOWS\System32\Pdrvinst.dll
[2010.01.05 20:17:25 | 00,000,000 | ---D | C] -- C:\Programme\Brother
[2009.10.24 10:13:51 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.10.24 10:13:51 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2009.10.24 10:13:47 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.10.24 10:13:47 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.01.24 11:11:00 | 14,680,064 | -H-- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\NTUSER.DAT
[2010.01.24 11:09:01 | 00,547,328 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\OTL.exe
[2010.01.24 11:03:45 | 00,000,502 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2010.01.24 11:03:37 | 00,050,257 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.01.24 11:03:06 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.01.24 11:03:01 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.01.24 11:02:59 | 10,721,97632 | -HS- | M] () -- C:\hiberfil.sys
[2010.01.24 11:02:12 | 00,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\ntuser.ini
[2010.01.24 01:17:48 | 28,431,344 | ---- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\drweb-cureit.exe
[2010.01.24 00:05:27 | 00,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2010.01.23 22:21:23 | 00,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.23 13:04:17 | 00,090,416 | ---- | M] () -- C:\WINDOWS\AKDeInstall.exe
[2010.01.23 12:20:41 | 00,000,268 | ---- | M] () -- C:\WINDOWS\Brownie.ini
[2010.01.22 19:15:50 | 00,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\Anwendungsdaten\00000CCC_VTS_0.IFO
[2010.01.22 18:36:07 | 00,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.01.22 17:34:00 | 00,000,151 | ---- | M] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2010.01.22 14:25:08 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.01.20 18:14:14 | 00,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\Microsoft Word.lnk
[2010.01.18 15:34:06 | 00,044,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.01.17 14:03:12 | 00,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.01.17 14:03:11 | 00,163,840 | ---- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.12 16:49:33 | 00,191,384 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.01.12 12:56:01 | 00,044,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.01.12 12:53:57 | 00,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010.01.12 12:53:41 | 00,000,684 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.06 18:37:11 | 00,025,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\Wir haben verbindlich für Sie gebucht.doc
[2010.01.05 20:19:07 | 00,009,030 | ---- | M] () -- C:\WINDOWS\HL-2030.INI
[2010.01.05 20:19:07 | 00,000,141 | ---- | M] () -- C:\WINDOWS\BRVIDEO.INI
[2010.01.05 20:18:54 | 00,000,416 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2010.01.05 20:18:54 | 00,000,054 | ---- | M] () -- C:\WINDOWS\System32\bd2030.dat
[2010.01.05 20:18:03 | 00,000,000 | ---- | M] () -- C:\WINDOWS\brmx2001.ini
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.01.24 11:02:59 | 10,721,97632 | -HS- | C] () -- C:\hiberfil.sys
[2010.01.24 01:21:08 | 28,431,344 | ---- | C] () -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\drweb-cureit.exe
[2010.01.23 22:21:23 | 00,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.23 13:04:17 | 00,090,416 | ---- | C] () -- C:\WINDOWS\AKDeInstall.exe
[2010.01.22 19:15:50 | 00,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Scaleo-600\Anwendungsdaten\00000CCC_VTS_0.IFO
[2010.01.06 18:37:10 | 00,025,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Scaleo-600\Desktop\Wir haben verbindlich für Sie gebucht.doc
[2010.01.05 20:18:03 | 00,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2010.01.05 20:18:03 | 00,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2010.01.05 20:17:57 | 00,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini
[2010.01.05 20:17:56 | 00,009,030 | ---- | C] () -- C:\WINDOWS\HL-2030.INI
[2010.01.05 20:17:48 | 00,000,416 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2010.01.05 20:17:25 | 00,000,054 | ---- | C] () -- C:\WINDOWS\System32\bd2030.dat
[2010.01.05 20:17:12 | 00,000,268 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.10.08 18:22:38 | 00,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009.03.25 10:27:49 | 00,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2009.01.05 15:44:10 | 00,000,453 | ---- | C] () -- C:\WINDOWS\bdoscandellang.ini
[2008.07.23 17:50:52 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.07.23 17:47:34 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.07.23 17:47:34 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.07.23 17:46:38 | 00,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2007.10.23 15:57:21 | 00,000,084 | ---- | C] () -- C:\WINDOWS\GOLPH.INI
[2007.10.23 15:54:44 | 00,000,035 | ---- | C] () -- C:\WINDOWS\meier.ini
[2007.10.23 15:52:57 | 00,000,056 | ---- | C] () -- C:\WINDOWS\count.ini
[2007.10.23 15:28:18 | 00,000,285 | ---- | C] () -- C:\WINDOWS\BRAINBOX.INI
[2007.10.06 14:05:42 | 00,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.08.08 22:53:35 | 00,000,024 | ---- | C] () -- C:\WINDOWS\SELINGUA.INI
[2007.07.03 09:42:08 | 00,278,528 | ---- | C] () -- C:\WINDOWS\ImgUploaderLang_1.dll
[2007.07.03 09:42:06 | 00,278,528 | ---- | C] () -- C:\WINDOWS\ImgUploaderLang_2.dll
[2007.06.27 11:22:54 | 00,692,224 | ---- | C] () -- C:\WINDOWS\libcurl.dll
[2007.03.11 20:00:08 | 00,056,320 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
[2007.03.11 15:44:50 | 00,000,985 | ---- | C] () -- C:\WINDOWS\Aeditor.INI
[2007.03.11 15:44:29 | 00,000,307 | ---- | C] () -- C:\WINDOWS\ULEAD32.INI
[2007.03.11 15:40:53 | 00,007,420 | ---- | C] () -- C:\WINDOWS\UA000012.DLL
[2007.03.11 15:39:57 | 00,000,014 | ---- | C] () -- C:\WINDOWS\dswplug.ini
[2007.03.10 12:36:02 | 00,009,728 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2007.02.27 00:04:58 | 00,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2007.02.26 18:32:17 | 00,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2007.02.26 18:32:17 | 00,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2007.02.16 14:36:52 | 00,278,528 | ---- | C] () -- C:\WINDOWS\ImgUploaderLang_3.dll
[2006.12.20 20:32:00 | 00,002,014 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2006.12.10 15:12:16 | 00,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.10.13 19:45:11 | 00,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2006.07.14 17:32:46 | 00,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2006.07.12 13:59:56 | 00,163,840 | ---- | C] () -- C:\Dokumente und Einstellungen\Scaleo-600\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.07.11 12:31:32 | 00,192,512 | ---- | C] () -- C:\WINDOWS\System32\stac97co.dll
[2006.07.07 18:44:52 | 00,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2006.07.05 11:24:22 | 00,000,143 | ---- | C] () -- C:\Dokumente und Einstellungen\Scaleo-600\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.03.09 14:29:00 | 01,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.03.09 14:29:00 | 01,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.03.09 14:29:00 | 01,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.03.09 14:29:00 | 00,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.03.09 14:29:00 | 00,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.03.09 14:29:00 | 00,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.03.09 14:29:00 | 00,098,304 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2005.01.24 17:00:00 | 00,016,857 | ---- | C] () -- C:\WINDOWS\System32\bh2030.ini
[2004.08.02 17:00:00 | 00,000,417 | ---- | C] () -- C:\WINDOWS\System32\bw2030.ini
[2002.03.17 01:00:00 | 00,007,420 | ---- | C] () -- C:\WINDOWS\UA000019.DLL
 
[color=#E56717]========== Alternate Data Streams ==========[/color]
 
@Alternate Data Stream - 99 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7E95B6FD
@Alternate Data Stream - 235 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
< End of report >

Code

OTL Extras logfile created on: 24.01.2010 11:13:45 - Run 1
OTL by OldTimer - Version 3.1.26.0     Folder = C:\Dokumente und Einstellungen\Scaleo-600\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 663,00 Mb Available Physical Memory | 65,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,08 Gb Total Space | 13,35 Gb Free Space | 34,16% Space Free | Partition Type: NTFS
Drive D: | 72,70 Gb Total Space | 1,26 Gb Free Space | 1,73% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: S******
Current User Name: Scaleo-600
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"10243:TCP" = 10243:TCP:LocalSubNet:Disabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Disabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Disabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Disabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Disabled:Windows Media Player-Netzwerkfreigabedienst
"443:TCP" = 443:TCP:*:Enabled:Usenext
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\WINDOWS\system32\dxdiag.exe" = C:\WINDOWS\system32\dxdiag.exe:*:Enabled:Microsoft DirectX-Diagnoseprogramm -- (Microsoft Corporation)
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server -- (Microsoft Corporation)
"C:\WINDOWS\system32\javaw.exe" = C:\WINDOWS\system32\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.)
"C:\Programme\Shareaza\Shareaza.exe" = C:\Programme\Shareaza\Shareaza.exe:*:Enabled:Shareaza -- (Shareaza Development Team)
"C:\Programme\Internet Explorer\iexplore.exe" = C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer -- (Microsoft Corporation)
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, Inc.)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0878E100-C0BB-41E8-B4C6-C486B61FDA7B}" = Canon PhotoRecord
"{0D53010B-3B31-4D05-9EF6-B5227196DE2C}" = Brother HL-2035
"{26BDE7D8-93F0-4A07-AD47-1707DB417941}" = Camera Support Core Library
"{2F81FBFC-9A37-431F-9050-14B55485DF5A}" = Internet Library
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{42F7C377-2A1F-44FB-A17F-053C29E81031}" = Nero 7 Premium
"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"{54971F17-9D16-4D43-95D6-3A86E3D20EDB}" = Office-Bibliothek 4.1
"{55A29068-F2CE-456C-9148-C869879E2357}" = TuneUp Utilities 2009
"{5C81B189-5456-40C4-9313-7FE6FA6DD64C}" = Office-Bibliothek
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5
"{5FF50E1A-4E6D-454B-BA00-6E15D6216BFB}" = Wildlife Park Gold
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{68E7E8BD-2233-49BE-81D6-1A1FAF1B5196}" = RAW Image Task 1.1
"{69273743-FC06-4CA3-A91A-0F8439304B7A}" = C-Major Audio
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1795AC0-9B6A-40D9-8E07-A82662268D9F}" = Virtual Machine Network Services Driver
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B34BE30D-A759-4EC2-B58F-19FE2DEBF651}" = Camera Window
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BB406CEB-6207-4512-9BB2-89950DC9D6B6}_is1" = ConvertXtoDVD 2.0.13
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1D76D7A-F3BB-47EA-A746-5B1E2FFC1DF2}" = Canon Utilities ZoomBrowser EX
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF2C1A86-5A98-4862-A3AE-9992E3A6427D}" = RemoteCapture Task 1.0.3
"{D5B8CDB6-0F63-49BB-9E32-D0246BE90C8F}" = Duden Korrektor kompakt
"{DE286975-ACF1-45B8-9EF7-34E162B2C817}" = MovieEdit Task
"{E05B1C38-AE31-4146-8D47-E5E71BEB8D9E}" = Immortal Cities
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}" = PhotoStitch
"{EF901A4B-A25A-4962-83C6-C6691D062ED9}" = Nero Mega Plugin Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"AVS Video Tools 5.1_is1" = AVS Video Tools 5.1
"[url="http://www.ccleaner.de"]CCleaner[/url]" = [url="http://www.ccleaner.de"]CCleaner[/url]
"Crazy Browser 2.0.0_is1" = Crazy Browser version 2.0.0
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InCD!UninstallKey" = InCD
"Indeo® Software" = Indeo® Software
"InstallShield_{26BDE7D8-93F0-4A07-AD47-1707DB417941}" = Canon Camera Support Core Library
"InstallShield_{2F81FBFC-9A37-431F-9050-14B55485DF5A}" = Canon Internet Library for ZoomBrowser EX
"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"InstallShield_{68E7E8BD-2233-49BE-81D6-1A1FAF1B5196}" = Canon RAW Image Task for ZoomBrowser EX
"InstallShield_{B34BE30D-A759-4EC2-B58F-19FE2DEBF651}" = Canon Camera Window for ZoomBrowser EX
"InstallShield_{CF2C1A86-5A98-4862-A3AE-9992E3A6427D}" = Canon RemoteCapture Task for ZoomBrowser EX
"InstallShield_{DE286975-ACF1-45B8-9EF7-34E162B2C817}" = Canon MovieEdit Task for ZoomBrowser EX
"InstallShield_{E05B1C38-AE31-4146-8D47-E5E71BEB8D9E}" = Immortal Cities
"InstallShield_{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}" = Canon Utilities PhotoStitch 3.1
"IrfanView" = IrfanView (remove only)
"IsoBuster_is1" = IsoBuster 2.2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (2.0.0.4)" = Mozilla Firefox (2.0.0.4)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"QuickPar" = QuickPar 0.9
"ratDVD" = ratDVD 0.78.1444
"Shareaza_is1" = Shareaza Version 2.2.5.0
"SlimBrowser" = SlimBrowser (remove only)
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"UseNeXT_is1" = UseNeXT
"VLC media player" = VideoLAN VLC media player 0.8.6
"VSO DivxToDVD_is1" = DivxToDVD 0.5.2
"Winamp" = Winamp (nur entfernen)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 22.01.2010 18:23:19 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x0001aa83.
 
Error - 22.01.2010 18:23:52 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul flash10c.ocx, Version 10.0.32.18, Fehleradresse 0x0002d0ed.
 
Error - 22.01.2010 18:59:00 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x0000100b.
 
Error - 22.01.2010 19:05:00 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x0000a93b.
 
Error - 23.01.2010 08:48:34 | Computer Name = SCHATZI | Source = pctsSvc.exe | ID = 0
Description = 
 
Error - 23.01.2010 15:19:52 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung zojbcxth.exe, Version 1.0.15.15163, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0xf5b852be.
 
Error - 23.01.2010 17:18:47 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mbam.exe, Version 1.44.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0xf66cc7bc.
 
Error - 23.01.2010 19:29:04 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung regcleanr.exe, Version 4.3.0.780, fehlgeschlagenes
 Modul regcleanr.exe, Version 4.3.0.780, Fehleradresse 0x00003821.
 
Error - 23.01.2010 19:41:35 | Computer Name = SCHATZI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung 57mvfxp.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x7fd6de14.
 
Error - 23.01.2010 20:04:40 | Computer Name = SCHATZI | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\SCALEO~1\LOKALE~1\Temp\IXP000.TMP\bdfree.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
[ System Events ]
Error - 23.01.2010 17:26:38 | Computer Name = SCHATZI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 23.01.2010 17:26:38 | Computer Name = SCHATZI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "Umgebung
 für die AFD-Netzwerkunterstützung" abhängig, der aufgrund folgenden Fehlers nicht
 gestartet wurde:   %%31
 
Error - 23.01.2010 17:26:38 | Computer Name = SCHATZI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 23.01.2010 17:26:38 | Computer Name = SCHATZI | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Aavmker4  AFD  aswSP  aswTdi  Fips  IPSec  MRxSmb  NetBIOS  NetBT  Processor  RasAcd  Rdbss  SASDIFSV  SASKUTIL
Tcpip
WS2IFSL
 
Error - 23.01.2010 17:50:46 | Computer Name = SCHATZI | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 23.01.2010 17:50:54 | Computer Name = SCHATZI | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 23.01.2010 18:33:16 | Computer Name = SCHATZI | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 23.01.2010 18:39:20 | Computer Name = SCHATZI | Source = Service Control Manager | ID = 7034
Description = Dienst "TuneUp Program Statistics Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 23.01.2010 18:44:13 | Computer Name = SCHATZI | Source = Service Control Manager | ID = 7034
Description = Dienst "TuneUp Program Statistics Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 23.01.2010 19:07:10 | Computer Name = SCHATZI | Source = Service Control Manager | ID = 7034
Description = Dienst "TuneUp Program Statistics Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
[ TuneUp Events ]
Error - 08.11.2009 07:39:59 | Computer Name = SCHATZI | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: near "anti": syntax error; when executing SQL: INSERT INTO
 ActiveApps (Started, Exe, ProcID, Resumed) VALUES ('2009-11-08 12:39:57', '\device\harddiskvolume1\programme\malwarebytes'
 anti-malware\mbam.exe','1516',0)
 
Error - 08.11.2009 08:04:07 | Computer Name = SCHATZI | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: near "anti": syntax error; when executing SQL: INSERT INTO
 ActiveApps (Started, Exe, ProcID, Resumed) VALUES ('2009-11-08 13:04:07', '\device\harddiskvolume1\programme\malwarebytes'
 anti-malware\mbam.exe','2104',0)
 
Error - 08.11.2009 08:10:42 | Computer Name = SCHATZI | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: near "anti": syntax error; when executing SQL: INSERT INTO
 ActiveApps (Started, Exe, ProcID, Resumed) VALUES ('2009-11-08 13:10:41', '\device\harddiskvolume1\programme\malwarebytes'
 anti-malware\mbam.exe','2276',0)
 
Error - 23.01.2010 15:41:21 | Computer Name = SCHATZI | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: near "anti": syntax error; when executing SQL: INSERT INTO
 ActiveApps (Started, Exe, ProcID, Resumed) VALUES ('2010-01-23 20:41:21', '\device\harddiskvolume1\programme\malwarebytes'
 anti-malware\mbam.exe','3464',0)
 
Error - 23.01.2010 15:41:28 | Computer Name = SCHATZI | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: near "anti": syntax error; when executing SQL: INSERT INTO
 ActiveApps (Started, Exe, ProcID, Resumed) VALUES ('2010-01-23 20:41:28', '\device\harddiskvolume1\programme\malwarebytes'
 anti-malware\mbam.exe','3752',0)
 
Error - 23.01.2010 15:42:03 | Computer Name = S****** | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: near "anti": syntax error; when executing SQL: INSERT INTO
 ActiveApps (Started, Exe, ProcID, Resumed) VALUES ('2010-01-23 20:42:03', '\device\harddiskvolume1\programme\malwarebytes'
 anti-malware\mbam.exe','1224',0)
  
< End of report >

wie ich sehe, habe ich alles richtig gemacht *freu*, nun bin ich gespannt, was ich als nächstes tun soll. :-)

#4 Schritt 1

Filesharing

Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen.

Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren

Zitat

Shareaza

Schritt 2

Scanne erneut mit Malwarebytes aber diesmal einne Fullsan. Vorher das Programm updaten. Lass dann das gefundene löschen.

Schritt 3

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

#5 hallo swisstreasure,
ich habe das programm deinstalliert, aber daran kanns wohl nicht gelegen haben, da meine mitbewohnerin das schon seit jahren nicht benutzt hat. aber ihr pc müsste eh mal aufgeräumt werden.

leider stürzt der pc beim scann mit malwarebytes immer ab. was soll ich tun?

#6 Was ist mit Schritt 3? Geht Rootrepeal?

#7 also der pc stürzt ständig beim scan ab, auch im abgesicherten modus.
jedenfalls kam beim
start von rootRepeal eine meldung: RootRepeal Error: Error - invalid image found.
danach habe ich den scan durchgeführt.

Code

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/01/25 14:08
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF4DAE000    Size: 98304    File Visible: No    Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B90000    Size: 8192    File Visible: No    Signed: -
Status: -

Name: PCI_PNP7940
Image Path: \Driver\PCI_PNP7940
Address: 0x00000000    Size: 0    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB8E74000    Size: 49152    File Visible: No    Signed: -
Status: -

Name: spby.sys
Image Path: spby.sys
Address: 0xF740F000    Size: 1048576    File Visible: No    Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000    Size: 0    File Visible: No    Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

SSDT
-------------------
#: 041    Function Name: NtCreateKey
Status: Hooked by "spby.sys" at address 0xf74100e0

#: 071    Function Name: NtEnumerateKey
Status: Hooked by "spby.sys" at address 0xf742eca2

#: 073    Function Name: NtEnumerateValueKey
Status: Hooked by "spby.sys" at address 0xf742f030

#: 119    Function Name: NtOpenKey
Status: Hooked by "spby.sys" at address 0xf74100c0

#: 160    Function Name: NtQueryKey
Status: Hooked by "spby.sys" at address 0xf742f108

#: 177    Function Name: NtQueryValueKey
Status: Hooked by "spby.sys" at address 0xf742ef88

#: 247    Function Name: NtSetValueKey
Status: Hooked by "spby.sys" at address 0xf742f19a

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System    Address: 0x871d81f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CREATE]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLOSE]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_READ]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_WRITE]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_INFORMATION]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_INFORMATION]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_EA]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_EA]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DIRECTORY_CONTROL]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_LOCK_CONTROL]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLEANUP]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_PNP]
Process: System    Address: 0x8676c1f8    Size: 121

Object: Hidden Code [Driver: Ndis, IRP_MJ_CREATE]
Process: System    Address: 0x86dfc490    Size: 121

Object: Hidden Code [Driver: Ndis, IRP_MJ_CLOSE]
Process: System    Address: 0x86dfc490    Size: 121

Object: Hidden Code [Driver: Ndis, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x86dfc490    Size: 121

Object: Hidden Code [Driver: Ndis, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x86dfc490    Size: 121

Object: Hidden Code [Driver: Ndis, IRP_MJ_POWER]
Process: System    Address: 0x86dfc490    Size: 121

Object: Hidden Code [Driver: Ndis, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x86dfc490    Size: 121

Object: Hidden Code [Driver: Ndis, IRP_MJ_PNP]
Process: System    Address: 0x86dfc490    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System    Address: 0x86fc91f8    Size: 121

Object: Hidden Code [Driver: imagedrv, IRP_MJ_CREATE]
Process: System    Address: 0x871d91f8    Size: 121

Object: Hidden Code [Driver: imagedrv, IRP_MJ_CLOSE]
Process: System    Address: 0x871d91f8    Size: 121

Object: Hidden Code [Driver: imagedrv, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x871d91f8    Size: 121

Object: Hidden Code [Driver: imagedrv, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x871d91f8    Size: 121

Object: Hidden Code [Driver: imagedrv, IRP_MJ_POWER]
Process: System    Address: 0x871d91f8    Size: 121

Object: Hidden Code [Driver: imagedrv, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x871d91f8    Size: 121

Object: Hidden Code [Driver: imagedrv, IRP_MJ_PNP]
Process: System    Address: 0x871d91f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]
Process: System    Address: 0x871da1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]
Process: System    Address: 0x86f7d1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]
Process: System    Address: 0x86f7d1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x86f7d1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x86f7d1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]
Process: System    Address: 0x86f7d1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x86f7d1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]
Process: System    Address: 0x86f7d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System    Address: 0x8716d1f8    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System    Address: 0x86abe1f8    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System    Address: 0x86abe1f8    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x86abe1f8    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x86abe1f8    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System    Address: 0x86abe1f8    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System    Address: 0x86abe1f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System    Address: 0x8695d500    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_CREATE]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_CLOSE]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_READ]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_QUERY_INFORMATION]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_SET_INFORMATION]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_DIRECTORY_CONTROL]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_LOCK_CONTROL]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_CLEANUP]
Process: System    Address: 0x86e3e340    Size: 121

Object: Hidden Code [Driver: Cdfsȅఐ卆浩, IRP_MJ_PNP]
Process: System    Address: 0x86e3e340    Size: 121

==EOF== 

#8 Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
spby.sys

:regfind
spby

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.


>>>>
Wann stürzt dann das System beim ausführen von Malwarebytes oder GMER genau ab? Beim ausführen?

#9 der Scan mit dem Tool ging sehr schnell, hoffe, dass dies normal ist.

Code

 SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 11:00 on 26/01/2010 by Scaleo-600 (Administrator - Elevation successful)

========== filefind ==========

Searching for "spby.sys"
No files found.

========== regfind ==========

Searching for "spby"
No data found.

-=End Of File=-

also "malwarebyte" stürzt immer beim vollständigen suchlauf ab, auch im abgesicherten modus, bei "drwebcureit" und "superantispyware" ist es ebenso, meist passiert das, wenn die scanner ein viertel der platte c gescannt haben.
hatte versucht mal anderen scanner (avg-antivirus) zu installieren - schlug fehl. onlinescanner gehen gar nicht.
auch bei der installation von "spybot" lies sich das programm nicht öffnen. ich finde das alles sehr merkwürdig.
anfangs dachte ich erst vielleicht ein speicherproblem, aber da ja der avast-scanner geblockt wurde, also sich auch nicht mehr aktivieren lies und einige andere scanner nicht funktionieren, bzw. sich der pc dann neu bootet, glaube ich eher an viren/trojanerbefall.
da meine Mitbewohnerin ihren pc dringend braucht, bitte ich um weitere hilfe. wie kann ich weiter verfahren?

lg panama

#10 so ich glaub ich hab da etwas, womit wir was anfangen können.
habe "escan" im abgesicherten modus mit netzwerktreibern gestartet und der scan lief ohne absturz. hier also das log:

Code

 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2008.03.07 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal 
  
eScan Version: 11.0.86 
Sprache: German 
C:\DOKUME~1\SCALEO~1\LOKALE~1\Temp\MWAV.LOG 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Offending file found: C:\WINDOWS\system32\vbalicom6.dll 
~~~~~~~~~~~ 
~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 
~~~~~~~~~~~ 
eScan-Antiviren- und Antispyware-Werkzeugsatz. 
Antiviren- und Antispywaredatenbanken werden heruntergeladen... 
Indexed Spyware Databases Successfully Created... 
eScan-Antiviren- und Antispyware-Werkzeugsatz. 
Scannen Spyware: Aktiviert 
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** 
Indexed Spyware Databases Successfully Created... 

System found infected with ABetterInternet Spyware/Adware (vbalicom6.dll)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/KernelFaultCheck)! Action taken: Keine Maßnahme ergriffen. 
System found infected with PersonalAntispy Corrupted Adware/Spyware (HKCU\Software\Mirabilis)! Action taken: Keine Maßnahme ergriffen. 
System found infected with Antivirus Sentry Corrupted Adware/Spyware (HKCU\Software\AVS)! Action taken: Keine Maßnahme ergriffen. 
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Spyware Doctor". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
laufende Prozesse - commandline 
~~~~~~~~~~~~~~~~~~~~~~ 
System Idle Process - 
System - 
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - 
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe - 
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe - 
svchost.exe - 
explorer.exe - C:\WINDOWS\Explorer.EXE
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Scaleo-600\Desktop\NEU\Escan und anleitung\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo 
wmiprvse.exe - 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
ERROR!!! Invalid Entry  = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (in key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}). No Action Taken. 
ERROR!!! Invalid Entry  = C:\Programme\ICQLite\ICQLite.exe (in key HKLM\Software\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}). No Action Taken. 
ERROR!!! Invalid Entry \??\C:\WINDOWS\TEMP\cusbohcn.sys in HKLM\SYSTEM\CurrentControlSet\Services\cusbohcn. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \SystemRoot\System32\drivers\dwshd.sys in HKLM\SYSTEM\CurrentControlSet\Services\dwshd. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt in HKLM\SYSTEM\CurrentControlSet\Services\EverestDriver. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\DOKUME~1\SCALEO~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS in HKLM\SYSTEM\CurrentControlSet\Services\SASDIFSV. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\DOKUME~1\SCALEO~1\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS in HKLM\SYSTEM\CurrentControlSet\Services\SASENUM. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\DOKUME~1\SCALEO~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys in HKLM\SYSTEM\CurrentControlSet\Services\SASKUTIL. Action Taken: No Action Taken. 
OpenError (C:\WINDOWS\system32\Drivers\sptd.sys): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20) 
ERROR!!! Invalid Entry system32\DRIVERS\videX32.sys in HKLM\SYSTEM\CurrentControlSet\Services\videX32. Action Taken: No Action Taken. 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:    127.0.0.1        localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\C*******\CD\Programme\Zonealarm\zlsSetup_65_731_000_de.exe!!! 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\C*******\CD\Spiele\Sim City3000\Games - Sim City 3000 Full Version.zip!!! 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\C*******\Spiele\Jump an Run\Moorhuhn Schatzjäger\Moorhuhn_Schatzjaeger_Jump_and_Run_Schatzjäger_Phenomedia.exe!!! 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\C*******\Spiele\Sim City3000\Games - Sim City 3000 Full Version.zip!!! 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\C*******\Spiele\Trailer Wildlife Park\WildlifePark-WildCreatures-Demo\WildlifePark-WildCreatures-Demo.exe!!! 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\C*******\Spiele\Trailer Wildlife Park\WildlifePark-WildCreatures-Demo.zip!!! 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\NEU\AVG Antiscan\avg_avwt_stf_all_90_730a1834.exe!!! 
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Scaleo-600\Desktop\NEU\Escan und anleitung\mwav.exe!!! 

Zahl der gescannten Objekte: 75680 
Zahl der kritischen Objekte: 3 
Zahl der desinfizierten Objekte: 0 
Zahl der umbenannten Objekte: 0 
Zahl der gelöschten Objekte: 0 
Zeit verstrichen: 00:08:58 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Speicherüberprüfung: Aktiviert 
Überprüfung der Registrierungsdatenbank: Aktiviert 
Überprüfung des Startordners: Aktiviert 
Überprüfung des Systemordners: Aktiviert 
Überprüfung der Dienste: Aktiviert 
Option "Überprüfung der Laufwerke" deaktiviert 
Überprüfung der Ordner: Deaktiviert 
 
Batchstart: 16:18:29,82 
Batchende: 16:18:31,46 

nach dem scan habe ich dann den pc neu gestartet, escan ging wieder an und fing an zu scannen. in der zeit schaute ich mir die prozesse im taskmanager an und bemerkte einen prozess namens: mexe.com, den ich zuvor noch nie gesehen hatte. kurz darauf war der prozess verschwunden und escan schloss sich mit? nun hoffe ich, dass ihr mir weiterhelfen könnt.
lg panama

#11 Hallo

Es ist wichtig, dass Du NUR die Schritte ausführst die ich hier poste. Wenn Du selber das System bereinigen willst, dann brauchst Du mich ja nicht. Das Problem ist, dass ich mir Überlegungen mache wie am besten vo zu gehen. Und wenn du dazwischen irgendwelche Scans laufen lässt oder Sachen installierst, dann gibt das ein Durcheinander.

Der Prozess gehört zum Scanner.

Mache einmal folgendes:
Start --> Ausführen --> CMD eingeben --> chkdsk /f (eingeben) --> alle Programme schließen --> OK

Dies scannt deine Festplatte nach Fehlern.

#12 ja okay verstehe, ich mach jetzt nur was du schreibst. :-)

bei dem versuch, den du vorgeschlagen hast, kommt folgende fehlermeldung: "CHKDSK kann nicht ausgeführt werden, weil das Volume von einem anderen Prozess verwendet wird. Soll dieses Volume überprüft werden, wenn das System das nächste Mal gestartet wird? (J/N). soll ich J eingeben?

#13 Klicke auf J und starte neu.

#14 ja ok, hab ich gemacht, scann verlief glaube problemlos.

#15 Ich will mal alles an Tools rausschmeisen und dann nochmals schauen wie es geht. Zuerst nimmt mich wunder ob diese Dateien evtl zu GMER gehören:

Schritt 1

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
zojbcxth.exe
57mvfxp.exe

:regfind
zojbcxth.exe
57mvfxp.exe

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.


Schritt 2

Tool-Bereinigung mit OTM

Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
• Bitte lade Dir (falls noch nicht vorhanden) OTM von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTM.exe um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTM und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 3


Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Schritt 4

Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
• Downloade die MBR.exe von Gmer und
• speichere das Programm auf Deinem Desktop.
• Mache einen Doppelklick auf das Programm, um es zu starten.
• Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
• Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
• Poste mir den Inhalt dieser Logdatei hier in den Thread.