[Windows Vista-32 bit] MS Removal Tool

Hallo, wie gewünscht hier mein eigener Thread.

Heute vormittag gegen 1140h war ich am arbeiten ( Grafik mit CorelDRAW x4 und Video mit meinem alten PREMIERE 6.5. Beide bestens lizensiert) mit meinem vista rechner. musik mit winAMP und hier und da gesurft. Dann die Meldung eines MS Removal Tools.

Rechner ist infiziert und ich muss schnell MS REMOVAL TOOL bezahlen und es repariert meinen PC. Sowas gibt es doch nicht. Nach der schnellen Hilfe hier im Forum hab ich dann RKILL besorgt.

USB-STICK auf mein VISTA im abgesichteren Modus installiert. Der hat gescannt und auch angeblich gelöscht. 3 Files. Nach dem Neustart jedoch ist alles beim alten. MS REMOVAL TOOL regiert meinen Rechner. Immernoch keine .exe ausführbar.

danke vorab für eure hilfen. geil das es euch gibt !!

[Der Leo]

Hallo,

hast du RKill im Abgesicherten Modus mit Netzwerktreibern ausgeführt? Wenn nein unbedient wiederholen.

Versuche es mit Malwarebytes

Malwarebytes Anti-Malware
Download (Free Version): Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
• Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
• Poste das Logfile in deinem Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Sollte Malwabytes sich nicht Installieren lasse gehen wie folgt vor.

OTH
Downloade: OTH

• Speicher die Datei auf dem Desktop.
• Starte OTH.scr mit Doppelklick.
• Klicke auf den Kill All Process Button.
• Nun klicke in OTH auf Start Misc Program Button.
  Navigiere in diesem Explorer auf deinem Desktop und zu dem Setup von Malwarebytes und klicke darauf.
• Nun klicke auf Öffnen und folge den Anweisungen um Malwarebytes in den vorgegeben Pfad zu installieren.
• Wenn die Installation abgeschlossen ist, navigiere nun zu C:\Programme\Malwarebytes Anti Malware und markiere die mbam.exe und klicke erneut auf öffnen
• Führe ein Update mit bestehender Internet Verbindung durch
  
• Wähle nun " "Vollständigen Suchlauf durchführen"" und klicke auf Scannen.

malewarebytes lässt sich nicht aktualisieren. der meint seine datenbank solle aktualisiert werden. da ich im abgesichtern modus keine inet habe kann ich das nicht nach anweisungen ausführen.
ich hab im abgesichtern modus RKILL einmal ausgeführt. der hat 3 files in quarantäne verschoben und gelöscht. lt log file im wordpad. leider hab ich dieses log nicht gespeichert.

ich fürchte auch das ich mittlerweile panisch schon den RKILL versuch gemacht hab.
ccleaner habe ich ebenfalls ausgeführt.
dann unkoordiniert dieses malewarebytes. der scannt ATM meinen vista rechner.
alles ohne erfolg, nach dem neustart dauert es längert als gewohnt bis vista läuft. kurz darauf meldet sich dieses faule MS REMOVAL ding mit all seiner dreistigkeit.

diese kommentare schreibe ich von meinem Win7 Notebook. das läuft momentan noch tadellos.

[Der Leo]

Also ist Malwarebytes Installiert?
Dann machen wir so weiter.

Gehe in den normalen Modus.
Öffne den Internet Explorer.
Klicke in der Leiste oben auf Extras.
Wähle dort den Reiter Internetoptionen aus.
Klicke auf den Reiter Verbindungen.
Unten bei Einstellungen für lokales Netzwerk auf LAN-Einstellungen.
Prüfe ob bei Proxyserver ein Häkchen gesetzt ist.
Wenn ja Entferne das Häckchen -> bestätige mir OK.

Führe bei Malwarebytes ein Update durch und trenne dich wieder vom Internet. Führe jetzt wie beschrieben einen Vollständigen Suchlauf durch.

Bitte bewahre ruhe und handle nicht auf eingene Faust Wir bekommen das schon hin

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5363

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

03.04.2011 15:43:15
mbam-log-2011-04-03 (15-43-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 348039
Laufzeit: 35 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

[Der Leo]

Zitat:

Datenbank Version: 5363

Wir sind schon bei 6255.
Bitte führe bei Malwarebytes ein Update durch.

Hast du den Proxyserver im Internet Explorer überprüft? Erst dann kann Malwarebytes Updates laden. Wennes trotzdem nicht geht meld dich wieder.

EDIT: Im normalen Modus! Nicht im Abgesicherten Modus

ich kann im NORMALEN modus immernoch nichts ausführen. MS REMOVAL TOOL unterbindet alles mit einer fehlermeldung:

APPLICATION CANNOT BE EXECUTED. IEUSER.EXE IS INFECTED.

im abgesichtern modus ist der proxy NICHT aktiviert. im normalen modus kann ich nicht nachsehen. alles gelähmt !!

mir läuft es kalt den rücken runter wenn ich sehe wie das MS REMOVAL TOOL meine ordner scannt.

kann ich das DB update nicht hier auf dem win7 machen ? die vistakiste ist aktuell nicht nutzbar im normalen modus.

[Der Leo]

Alles klar dann wechsel wieder in den Abgesicherten Modus.

Schritt 1
Combofix
Download: Combofix

• Speicher die Combofix.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
• Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
• Doppelklick auf die Combofix.exe und befolge die Anweisungen
• Es ist möglich, dass der PC während der Bereinigung neustartet.
• Nach dem Neustart erscheint eine Textdatei. Diesen Inhalt komplett in deinem Beitrag kopieren.

Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

Schritt 2
Kaspersky TDSSKiller
Download : TDSSKiller.zip

• Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
• Warte bis zum Ende der Untersuchung und der Desinfektion.
• Poste das Ergebnis.

Also ComboFix hat gewirkt. Jedoch habe ich wohl einen Fehler begangen. Ich habe den Avira. Den hab ich durch das Desktop Icon ControlCenter deaktiviert.
Im Logfile des ersten ComboFix Scans steht das Avira noch ENABLED ist. Nach dem Neustsrt durch ComboFix ist Vista gebooted und im normalen Modus am laufen.
Im normalen Mode habe ich dann Avira, wie Du sagtest im SystemTray deaktiviert und ComboFix nochmals bemüht. Das erste und das zweite Log hab ich hier:

ComboFix 11-04-02.05 - Jrock 03.04.2011 17:28:36.1.2 - x86 MINIMAL
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3071.2586 [GMT 2:00]
ausgeführt von:: c:\users\Jrock\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Setup.exe
c:\programdata\gPj31001mKhBk31001
c:\programdata\gPj31001mKhBk31001\gPj31001mKhBk31001
c:\programdata\gPj31001mKhBk31001\gPj31001mKhBk31001.exe
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_usnjsvc
-------\Service_WMPNetworkSvc
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-03-03 bis 2011-04-03 ))))))))))))))))))))))))))))))
.
.
2011-04-03 15:24 . 2011-04-03 15:24 -------- d-----w- c:\users\Jrock\AppData\Roaming\Avira
2011-04-03 15:23 . 2011-04-03 15:25 -------- d-----w- C:\32788R22FWJFW
2011-04-03 12:40 . 2011-04-03 12:40 -------- d-----w- c:\program files\CCleaner
2011-04-03 12:06 . 2011-04-03 12:06 -------- d-----w- c:\users\Jrock\AppData\Roaming\Malwarebytes
2011-04-03 12:06 . 2011-04-03 12:06 -------- d-----w- c:\programdata\Malwarebytes
2011-04-03 12:06 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-03 12:06 . 2011-04-03 12:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-03 12:06 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-03 12:02 . 2011-04-03 12:02 -------- d-----w- c:\users\Jrock\AppData\Roaming\Reviversoft
2011-04-03 12:02 . 2011-04-03 12:02 -------- d-----w- c:\program files\Reviversoft
2011-04-03 12:02 . 2011-03-16 11:28 16704 ----a-w- c:\windows\system32\roboot.exe
2011-04-02 23:25 . 2011-04-02 23:45 -------- d-----w- C:\projects
2011-04-01 19:25 . 2011-03-15 04:05 6792528 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{52630BBC-56A8-47B8-B3E1-725E6A5D0DA1}\mpengine.dll
2011-03-10 20:34 . 2010-12-29 17:41 323072 ----a-w- c:\windows\system32\sbe.dll
2011-03-10 20:34 . 2010-12-29 17:41 153088 ----a-w- c:\windows\system32\sbeio.dll
2011-03-10 20:34 . 2010-12-29 17:39 177664 ----a-w- c:\windows\system32\mpg2splt.ax
2011-03-10 20:34 . 2010-12-29 17:13 429056 ----a-w- c:\windows\system32\EncDec.dll
2011-03-10 20:34 . 2010-12-17 16:43 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-03-10 20:34 . 2010-12-17 15:06 677888 ----a-w- c:\windows\system32\mstsc.exe
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-31 15:38 . 2010-03-15 18:55 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-03-05 21:14 . 2010-03-07 14:11 137256 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-03-05 21:14 . 2010-03-07 15:10 218808 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-03-05 21:14 . 2010-03-07 14:10 218808 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-03-04 21:51 . 2010-03-07 14:10 218808 ----a-w- c:\windows\system32\PnkBstrB.ex0
2011-03-04 19:01 . 2010-03-07 14:10 75136 ----a-w- c:\windows\system32\PnkBstrA.exe
2011-02-02 17:11 . 2009-10-04 12:35 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-10 13:23 . 2010-03-15 18:55 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-01-08 07:50 . 2011-02-10 09:54 34304 ----a-w- c:\windows\system32\atmlib.dll
2011-01-08 05:57 . 2011-02-10 09:54 292352 ----a-w- c:\windows\system32\atmfd.dll
2009-04-24 15:01 . 2009-04-24 15:01 9819136 ----a-w- c:\program files\openofficeorg31.msi
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2010-11-16 172856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-01-27 61440]
"TVEService"="c:\program files\HomeCinema\TV Enhance\TVEService.exe" [2009-02-28 185576]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-12-02 6695456]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2008-12-02 1833504]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-10-14 20480]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-04 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"Kone"="c:\program files\ROCCAT\Kone Mouse\KoneHID.EXE" [2008-10-06 151552]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]
.
c:\users\Jrock\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]
S2 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\program files\HomeCinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2008-12-10 372834]
S2 TVESched;TVEnhance Task Scheduler (TTS));c:\program files\HomeCinema\TV Enhance\Kernel\TV\TVESched.exe [2008-12-10 184416]
S3 PhilCap;Pinnacle PCTV service;c:\windows\system32\DRIVERS\PhilCap.sys [2007-07-30 908832]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 07:18]
.
2011-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 07:18]
.
2011-04-03 c:\windows\Tasks\Start Registry Reviver.job
- c:\program files\Reviversoft\Registry Reviver\RegistryReviver.exe [2011-04-03 11:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://peak7.deviantart.com/
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\users\Jrock\AppData\Roaming\Mozilla\Firefox\Profiles\2unfpf2x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.kabeldeutschland.de/portal
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien:
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\ROCCAT\Kone Mouse\osd.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Common Files\Nero\Lib\NMIndexingService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\windows\system32\msiexec.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-03 17:42:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-04-03 15:41
.
Vor Suchlauf: 11 Verzeichnis(se), 230.804.430.848 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 226.915.074.048 Bytes frei
.
- - End Of File - - 5D57B685DD1357118DEBDA60DB3137D2



ComboFix 11-04-02.05 - Jrock 03.04.2011 17:45:35.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3071.1808 [GMT 2:00]
ausgeführt von:: c:\users\Jrock\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-03-03 bis 2011-04-03 ))))))))))))))))))))))))))))))
.
.
2011-04-03 15:50 . 2011-04-03 15:50 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-04-03 15:34 . 2011-04-03 15:51 -------- d-----w- c:\users\Jrock\AppData\Local\temp
2011-04-03 15:24 . 2011-04-03 15:24 -------- d-----w- c:\users\Jrock\AppData\Roaming\Avira
2011-04-03 12:40 . 2011-04-03 12:40 -------- d-----w- c:\program files\CCleaner
2011-04-03 12:06 . 2011-04-03 12:06 -------- d-----w- c:\users\Jrock\AppData\Roaming\Malwarebytes
2011-04-03 12:06 . 2011-04-03 12:06 -------- d-----w- c:\programdata\Malwarebytes
2011-04-03 12:06 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-03 12:06 . 2011-04-03 12:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-03 12:06 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-03 12:02 . 2011-04-03 12:02 -------- d-----w- c:\users\Jrock\AppData\Roaming\Reviversoft
2011-04-03 12:02 . 2011-04-03 12:02 -------- d-----w- c:\program files\Reviversoft
2011-04-03 12:02 . 2011-03-16 11:28 16704 ----a-w- c:\windows\system32\roboot.exe
2011-04-02 23:25 . 2011-04-02 23:45 -------- d-----w- C:\projects
2011-04-01 19:25 . 2011-03-15 04:05 6792528 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{52630BBC-56A8-47B8-B3E1-725E6A5D0DA1}\mpengine.dll
2011-03-10 20:34 . 2010-12-29 17:41 323072 ----a-w- c:\windows\system32\sbe.dll
2011-03-10 20:34 . 2010-12-29 17:41 153088 ----a-w- c:\windows\system32\sbeio.dll
2011-03-10 20:34 . 2010-12-29 17:39 177664 ----a-w- c:\windows\system32\mpg2splt.ax
2011-03-10 20:34 . 2010-12-29 17:13 429056 ----a-w- c:\windows\system32\EncDec.dll
2011-03-10 20:34 . 2010-12-17 16:43 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-03-10 20:34 . 2010-12-17 15:06 677888 ----a-w- c:\windows\system32\mstsc.exe
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-31 15:38 . 2010-03-15 18:55 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-03-05 21:14 . 2010-03-07 14:11 137256 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-03-05 21:14 . 2010-03-07 15:10 218808 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-03-05 21:14 . 2010-03-07 14:10 218808 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-03-04 21:51 . 2010-03-07 14:10 218808 ----a-w- c:\windows\system32\PnkBstrB.ex0
2011-03-04 19:01 . 2010-03-07 14:10 75136 ----a-w- c:\windows\system32\PnkBstrA.exe
2011-02-02 17:11 . 2009-10-04 12:35 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-10 13:23 . 2010-03-15 18:55 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-01-08 07:50 . 2011-02-10 09:54 34304 ----a-w- c:\windows\system32\atmlib.dll
2011-01-08 05:57 . 2011-02-10 09:54 292352 ----a-w- c:\windows\system32\atmfd.dll
2009-04-24 15:01 . 2009-04-24 15:01 9819136 ----a-w- c:\program files\openofficeorg31.msi
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2010-11-16 172856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-01-27 61440]
"TVEService"="c:\program files\HomeCinema\TV Enhance\TVEService.exe" [2009-02-28 185576]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-12-02 6695456]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2008-12-02 1833504]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-10-14 20480]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-04 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"Kone"="c:\program files\ROCCAT\Kone Mouse\KoneHID.EXE" [2008-10-06 151552]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]
.
c:\users\Jrock\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]
S2 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\program files\HomeCinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2008-12-10 372834]
S2 TVESched;TVEnhance Task Scheduler (TTS));c:\program files\HomeCinema\TV Enhance\Kernel\TV\TVESched.exe [2008-12-10 184416]
S3 PhilCap;Pinnacle PCTV service;c:\windows\system32\DRIVERS\PhilCap.sys [2007-07-30 908832]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 07:18]
.
2011-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 07:18]
.
2011-04-03 c:\windows\Tasks\Start Registry Reviver.job
- c:\program files\Reviversoft\Registry Reviver\RegistryReviver.exe [2011-04-03 11:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://peak7.deviantart.com/
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\users\Jrock\AppData\Roaming\Mozilla\Firefox\Profiles\2unfpf2x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.kabeldeutschland.de/portal
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-03 17:50
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-03 17:52:03
ComboFix-quarantined-files.txt 2011-04-03 15:52
ComboFix2.txt 2011-04-03 15:42
.
Vor Suchlauf: 13 Verzeichnis(se), 226.938.093.568 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 225.855.254.528 Bytes frei
.
- - End Of File - - FF126E6E813E2214A015C5D010E5A606

tdsskiller lässt sich nicht ausführen. Es gibt die Meldung das Verzeichniss sei ungültig. Mit WinRar direkt auf den Desktop entpackt hab ich. wie angesagt.

Jedoch ist das Verzeichniss ungültig.

ohje, unwissenheit kann ungeheuer nerven !!

Ich habe nur Malwarebytes installiert und ausgeführt und mein PC mit Vista funktioniert wieder. Danke für die Hilfe. (Da ich mich nicht super mit Software auskenne!: Heisst das das ich nichts mehr weiter machen soll/muss?

[Der Leo]

EDIT: Bitte den Script nicht ausführen!
Das Programm Registry Reviver hast du Installiert stimmts? Dann ist es sauber.

Mache bitte noch einen Scann mit aktualisierten Malwarebytes so wie oben beschrieben.

danke sehr leo !

nach dem combofix startet sich der rechner ja wie vorhergesagt neu. combofix hat noch eine weile nach dem neustart, im normalen modus agiert und ich habe dann, als combofix komplett fertig war, die malewarebytes database geupdated (tolles wort ).
malewarebytes hat dann beim scan mit update 1 infizierte datei/objekt entdeckt und scheinbar erfolgreich entfernt.

seither läuft mein vista rechner anstandslos. eigentlich schon seit dem combofix. ob das malewarebytes scan letztlich noch etwas gebracht hat kann ich nicht beurteilen.

[Der Leo]

Zitat:

malewarebytes hat dann beim scan mit update 1 infizierte datei/objekt entdeckt und scheinbar erfolgreich entfernt.

Bitte das Log nachreichen. Du findest es im Malwarebytes Hauptmenü unter dem Reiter Logdatein.

Außerdem folgendes ausführen.

Schritt 1

MBRCheck
Downloade: MBRCheck

• Speicher die MBRCheck.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen.
• MBRCheck braucht nur wenige Sekunden.
• Klicke im schwarzen Fenster ENTER um das Fenster zu schließen.
• Poste das Textdokument MBRCheck_<Datum>_<Uhrzeit>.txt in dein Beitrag.

Schritt 2

Systemsäuberung mit Ccleaner
Download: CCLEANER Systemsäuberung
Bitte an die Anleitung halten und abarbeiten. Außerdem möchte ich einen Einblick in deine Installieren Programme haben. Schreibe jeweils hinter jedes Programm notwendig (wenn es häufig verwendet wird), unbekannt (wenn es dir unbekannt ist), unnötig (wenn es nicht mehr benötigt wird)

• Öffne Ccleaner
• Reiter Extras auswählen
• Reiter Programme Deinstallieren auswählen
  
• Unten rechts auf Als Textdatei speichern...

Schritt 3

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Hake an "scan all users"
5. Unter "Extra Registrierung wähle:
"Benutze SafeList" "LOP Prüfung" "Purity Prüfung "
6. Kopiere in die Textbox (ohen das Wort Code):

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

7. Klicke "Scan"
8. Es werden 2 Reporte erstellt:
OTL.Txt sowie Extras.Txt
Bitte beide Logs Posten!

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: MEDIONPC
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MEDIONPC
System Product Name: MS-7366
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 156):
0x82447000 \SystemRoot\system32\ntkrnlpa.exe
0x82414000 \SystemRoot\system32\hal.dll
0x80409000 \SystemRoot\system32\kdcom.dll
0x80411000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x80471000 \SystemRoot\system32\PSHED.dll
0x80482000 \SystemRoot\system32\BOOTVID.dll
0x8048A000 \SystemRoot\system32\CLFS.SYS
0x804CB000 \SystemRoot\system32\CI.dll
0x80609000 \SystemRoot\system32\drivers\Wdf01000.sys
0x80685000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x80692000 \SystemRoot\system32\drivers\acpi.sys
0x806D8000 \SystemRoot\system32\drivers\WMILIB.SYS
0x806E1000 \SystemRoot\system32\drivers\msisadrv.sys
0x806E9000 \SystemRoot\system32\drivers\pci.sys
0x80710000 \SystemRoot\System32\drivers\partmgr.sys
0x8071F000 \SystemRoot\system32\drivers\volmgr.sys
0x8072E000 \SystemRoot\System32\drivers\volmgrx.sys
0x80778000 \SystemRoot\system32\drivers\pciide.sys
0x8077F000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8078D000 \SystemRoot\System32\drivers\mountmgr.sys
0x8079D000 \SystemRoot\system32\drivers\atapi.sys
0x807A5000 \SystemRoot\system32\drivers\ataport.SYS
0x807C3000 \SystemRoot\system32\DRIVERS\nvstor32.sys
0x805AB000 \SystemRoot\system32\DRIVERS\storport.sys
0x82A0A000 \SystemRoot\system32\drivers\fltmgr.sys
0x82A3C000 \SystemRoot\system32\drivers\fileinfo.sys
0x82A4C000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x82A55000 \SystemRoot\System32\Drivers\ksecdd.sys
0x82AC6000 \SystemRoot\system32\drivers\ndis.sys
0x82BD1000 \SystemRoot\system32\drivers\msrpc.sys
0x83403000 \SystemRoot\system32\drivers\NETIO.SYS
0x8343D000 \SystemRoot\System32\drivers\tcpip.sys
0x83526000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x83602000 \SystemRoot\System32\Drivers\Ntfs.sys
0x83711000 \SystemRoot\system32\drivers\wd.sys
0x83719000 \SystemRoot\system32\drivers\volsnap.sys
0x83752000 \SystemRoot\System32\Drivers\spldr.sys
0x8375A000 \SystemRoot\System32\Drivers\mup.sys
0x83769000 \SystemRoot\System32\drivers\ecache.sys
0x83790000 \SystemRoot\system32\drivers\disk.sys
0x837A1000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x837C2000 \SystemRoot\system32\drivers\crcdisk.sys
0x837E2000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x837ED000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x83565000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x83574000 \SystemRoot\system32\DRIVERS\serial.sys
0x837F6000 \SystemRoot\system32\DRIVERS\serenum.sys
0x8358E000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x835A1000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x835AC000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x835B4000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x835BE000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x807E7000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x805EC000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8E80A000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x8EC77000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8ED16000 \SystemRoot\System32\drivers\watchdog.sys
0x8ED23000 \SystemRoot\system32\DRIVERS\PhilCap.sys
0x8E407000 \SystemRoot\system32\DRIVERS\ks.sys
0x8E431000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0x8E434000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8E444000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8E452000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8E46A000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x8E470000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
0x8E56D000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8E576000 \SystemRoot\System32\Drivers\x10hid.sys
0x8E578000 \SystemRoot\System32\Drivers\HIDCLASS.SYS
0x8E588000 \SystemRoot\System32\Drivers\HIDPARSE.SYS
0x8E58F000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8E5BD000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8E5C8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8E5DF000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8E602000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8E625000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8E634000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8E648000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8E65D000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8E66D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8E678000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8E67A000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8E684000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8E691000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8E6C5000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x8E6CE000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8F403000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8F626000 \SystemRoot\system32\drivers\portcls.sys
0x8F653000 \SystemRoot\system32\drivers\drmk.sys
0x8F678000 \SystemRoot\system32\drivers\HdAudio.sys
0x8F6B7000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8F6C0000 \SystemRoot\System32\Drivers\Null.SYS
0x8F6C7000 \SystemRoot\System32\Drivers\Beep.SYS
0x8F6CE000 \SystemRoot\System32\drivers\vga.sys
0x8F6DA000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8F6FB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8F703000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8F70B000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8F716000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8F724000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8F72D000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8F743000 \SystemRoot\system32\DRIVERS\smb.sys
0x8F757000 \SystemRoot\system32\drivers\afd.sys
0x8F79F000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8F7D1000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8F7E7000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8E6DF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8F7F5000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8E6F2000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8E72E000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8E738000 \SystemRoot\System32\Drivers\dfsc.sys
0x8E74F000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8E775000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8F7FB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8E78C000 \SystemRoot\system32\DRIVERS\usbscan.sys
0x8E799000 \SystemRoot\system32\DRIVERS\usbprint.sys
0x8E7A3000 \SystemRoot\system32\DRIVERS\dot4usb.sys
0x8E7B0000 \SystemRoot\system32\DRIVERS\Dot4.sys
0x8E7D5000 \SystemRoot\system32\DRIVERS\Dot4Prt.sys
0x8F7FD000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x90000000 \SystemRoot\System32\Drivers\fastfat.SYS
0x90028000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x90031000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x90039000 \SystemRoot\system32\DRIVERS\udfs.sys
0x90074000 \SystemRoot\System32\Drivers\crashdmp.sys
0x90081000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0x9008B000 \SystemRoot\System32\Drivers\dump_nvstor32.sys
0x900AF000 \SystemRoot\System32\Drivers\x10ufx2.sys
0x900B9000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x97CB0000 \SystemRoot\System32\win32k.sys
0x900CB000 \SystemRoot\System32\drivers\Dxapi.sys
0x900D5000 \SystemRoot\system32\DRIVERS\monitor.sys
0x97ED0000 \SystemRoot\System32\TSDDD.dll
0x97EF0000 \SystemRoot\System32\cdd.dll
0x900E4000 \SystemRoot\system32\drivers\luafv.sys
0x900FF000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x90114000 \SystemRoot\system32\drivers\spsys.sys
0x901C3000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x901D3000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8E7DE000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8E7E8000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9B804000 \SystemRoot\system32\drivers\HTTP.sys
0x9B871000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9B88E000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9B8A7000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9B8BC000 \SystemRoot\system32\drivers\mrxdav.sys
0x9B8DC000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9B8FB000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9B934000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9B94C000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9B974000 \SystemRoot\System32\DRIVERS\srv.sys
0x9DE0D000 \SystemRoot\system32\drivers\peauth.sys
0x9DEEB000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9DEF5000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9DF01000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x9DF16000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0x77350000 \Windows\System32\ntdll.dll

Processes (total 90):
0 System Idle Process
4 System
448 C:\Windows\System32\smss.exe
580 csrss.exe
644 C:\Windows\System32\wininit.exe
652 csrss.exe
688 C:\Windows\System32\services.exe
700 C:\Windows\System32\lsass.exe
708 C:\Windows\System32\lsm.exe
760 C:\Windows\System32\winlogon.exe
912 C:\Windows\System32\svchost.exe
992 C:\Windows\System32\svchost.exe
1032 C:\Windows\System32\svchost.exe
1104 C:\Windows\System32\Ati2evxx.exe
1148 C:\Windows\System32\svchost.exe
1184 C:\Windows\System32\svchost.exe
1200 C:\Windows\System32\svchost.exe
1308 C:\Windows\System32\audiodg.exe
1340 C:\Windows\System32\SLsvc.exe
1364 C:\Windows\System32\svchost.exe
1480 C:\Windows\System32\svchost.exe
1712 C:\Windows\System32\spoolsv.exe
1736 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1748 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1764 C:\Windows\System32\svchost.exe
1900 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
196 C:\Windows\System32\Ati2evxx.exe
1428 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1504 C:\Program Files\Bonjour\mDNSResponder.exe
1848 C:\Windows\System32\svchost.exe
1556 C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
2192 C:\Windows\System32\IoctlSvc.exe
2224 C:\Windows\System32\PnkBstrA.exe
2248 C:\Windows\System32\svchost.exe
2280 C:\Program Files\Cyberlink\Shared files\RichVideo.exe
2308 C:\Windows\System32\svchost.exe
2356 C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVECapSvc.exe
2392 C:\Windows\System32\svchost.exe
2448 C:\Windows\System32\SearchIndexer.exe
2492 C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
2580 WUDFHost.exe
2804 C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVESched.exe
2896 C:\Windows\System32\taskeng.exe
3400 C:\Windows\System32\dwm.exe
3416 C:\Windows\System32\taskeng.exe
3496 C:\Windows\explorer.exe
3664 C:\Program Files\HomeCinema\TV Enhance\TVEService.exe
3672 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
3692 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
3764 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
3772 C:\Program Files\Winamp\winampa.exe
3792 C:\Program Files\java\jre6\bin\jusched.exe
3812 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3828 C:\Program Files\iTunes\iTunesHelper.exe
3848 C:\Program Files\ROCCAT\Kone Mouse\KoneHID.EXE
3948 C:\Program Files\Windows Sidebar\sidebar.exe
3984 C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
3992 C:\Program Files\Windows Media Player\wmpnscfg.exe
4004 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
4020 C:\Program Files\ICQ6.5\ICQ.exe
4088 C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
2292 C:\Program Files\OpenOffice.org 3\program\soffice.exe
3484 C:\Program Files\OpenOffice.org 3\program\soffice.bin
3724 C:\Program Files\ROCCAT\Kone Mouse\OSD.exe
3052 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
4256 C:\Windows\System32\mobsync.exe
4288 C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
4732 C:\Program Files\iPod\bin\iPodService.exe
5176 C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
5220 C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
5720 C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
5716 C:\Windows\System32\wuauclt.exe
4056 C:\Windows\System32\svchost.exe
5204 C:\Program Files\Internet Explorer\ieuser.exe
4100 C:\Program Files\Internet Explorer\iexplore.exe
5672 C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
796 C:\Program Files\Common Files\microsoft shared\Windows Live\WLLoginProxy.exe
1824 C:\Windows\System32\Macromed\Flash\FlashUtil10o_ActiveX.exe
4368 C:\Program Files\Windows Mail\WinMail.exe
5956 C:\Program Files\Common Files\Adobe\Updater6\Adobe_Updater.exe
3212 taskeng.exe
2800 C:\Program Files\Orbitdownloader\orbitdm.exe
5864 C:\Program Files\Orbitdownloader\orbitnet.exe
4084 C:\Windows\System32\SearchProtocolHost.exe
1388 C:\Windows\System32\SearchFilterHost.exe
5504 C:\Windows\explorer.exe
1468 dllhost.exe
2056 dllhost.exe
6128 C:\Users\Jrock\Desktop\MBRCheck.exe
4592 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000090`08307e00 (FAT32)

PhysicalDrive0 Model Number: ST3640323AS, Rev: BD15

Size Device Name MBR Status
--------------------------------------------
596 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 7EFA020287E79D4ABC8E881A0F61832177490838


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: