[Windows Vista-32 bit] Virus - Festplatte defekt

[Pablo]

Hallo alle zusammen,

ich habe ein ernsthaftes Problem mit meinem PC. Und zwar habe ich, wie ich vermute, mir einen Virus eingehandelt, der mir vorgaukelt, dass meine Festplatte Defekt ist. Alle Dateien sowie Desktop- und Schnellstartverküpfungen sind plötzlich verschwunden bzw werden diese versteckt. Im Anschluss erschien n Fenster mit der Meldung: Festplatte defekt. Die Programme funktionieren jedoch alle noch.

Hatte in diversen foren von ähnlichen Problemen gelesen. Sowie auch in diesem Beitrag:

übler Virus - Festplatte defekt - Desktop und Dateien wech

Ich kenne mich nur sehr schlecht mit Computern aus und bin von daher völlig überfordert.

Mein Betriebssystem ist Windows Vista.

Hab jetzt n Suchlauf mit Spybot und Malware durchgeführt. Es wurde zwar was gefunden, jedoch anscheinend nicht der Auslöser dieses Problems. Die Daten sind immer noch weg.

Die log-file von malware hat folgendes ausgespuckt:

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6705

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

18.06.2011 17:22:43
mbam-log-2011-06-18 (17-22-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 310014
Laufzeit: 1 Stunde(n), 31 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\adam cichy\downloads\aviplayersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.



Ein Scan mit RSIT das hier:

Logfile of random's system information tool 1.08 (written by random/random)
Run by Adam Cichy at 2011-06-18 14:53:36
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 70 GB (53%) free of 133 GB
Total RAM: 1021 MB (22% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:54:44, on 18.06.2011
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18602)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Samsung\EmoDio\SMSTray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PcSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Adam Cichy\Desktop\RSIT.exe
C:\Program Files\trend micro\Adam Cichy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE - E-Mail - Suche - DSL - De-Mail - Shopping - Entertainment
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [BullGuard Install] "C:\Program Files\BullGuard Install\Install BullGuard.exe" de Medion
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [UUSeeMediaCenter] "C:\Program Files\Common Files\uusee\UUSeeMediaCenter.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Avi Player] "C:\Program Files\Avi Player\AviPlayer.exe" hmw
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Adam Cichy\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB22DA0F-586F-4477-96A2-7C03BFDEFAD6}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04**** - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9668 bytes

======Scheduled tasks folder======

C:\Windows\tasks\Google Software Updater.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\User_Feed_Synchronization-{B92729E1-C677-4A40-A8E9-B22F12009B46}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll [2009-01-04 657904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-09-15 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53}]
Google Gears Helper - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll [2010-02-23 2121728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"ATICCC"=C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe [2006-07-11 90112]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2006-11-20 4018176]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2006-10-23 815104]
"NeroFilterCheck"=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]
"TVBroadcast"=C:\Program Files\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe [2006-12-07 820736]
"RemoteControl"=C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe [2006-11-23 56928]
"LanguageShortcut"=C:\Program Files\Home Cinema\PowerDVD\Language\Language.exe [2006-12-05 54832]
"BullGuard Install"=C:\Program Files\BullGuard Install\Install BullGuard.exe [2007-01-03 67152]
"SMSTray"=C:\Program Files\Samsung\EmoDio\SMSTray.exe [2009-03-21 484888]
"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-01-05 413696]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"UUSeeMediaCenter"=C:\Program Files\Common Files\uusee\UUSeeMediaCenter.exe []
"SunJavaUpdateSched"=C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-05-14 248552]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-01-04 39408]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]
"Nokia.PCSync"=C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe [2008-06-17 1249280]
"PC Suite Tray"=C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-10-02 1124352]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]
"Avi Player"=C:\Program Files\Avi Player\AviPlayer.exe hmw []
"ICQ"=C:\Program Files\ICQ7.0\ICQ.exe silent loginmode=4 []

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
VPN Client.lnk - C:\Windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico

C:\Users\Adam Cichy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
OpenOffice.org 3.2.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecu teHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6****"=C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\fir ewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\uusee\UUSeePlayer.exe"="C:\Program Files\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\fir ewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 3 months======

2011-06-18 14:53:36 ----D---- C:\rsit
2011-05-05 21:30:35 ----A---- C:\Windows\ntbtlog.txt
2011-05-03 21:26:06 ----A---- C:\Windows\system32\Apphlpdm.dll
2011-05-03 21:26:00 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2011-04-14 10:40:29 ----A---- C:\Windows\system32\atmfd.dll
2011-04-14 10:40:28 ----A---- C:\Windows\system32\atmlib.dll
2011-04-14 10:40:25 ----A---- C:\Windows\system32\drivers\mrxsmb10.sys
2011-04-14 10:40:24 ----A---- C:\Windows\system32\drivers\mrxsmb20.sys
2011-04-14 10:40:24 ----A---- C:\Windows\system32\drivers\mrxsmb.sys
2011-04-14 10:40:24 ----A---- C:\Windows\system32\drivers\bowser.sys
2011-04-14 10:40:18 ----A---- C:\Windows\system32\mfc42u.dll
2011-04-14 10:40:18 ----A---- C:\Windows\system32\mfc42.dll
2011-04-14 10:40:14 ----A---- C:\Windows\system32\drivers\srvnet.sys
2011-04-14 10:40:14 ----A---- C:\Windows\system32\drivers\srv2.sys
2011-04-14 10:40:14 ----A---- C:\Windows\system32\drivers\srv.sys
2011-04-14 10:40:10 ----A---- C:\Windows\system32\dnsapi.dll
2011-04-14 10:40:09 ----A---- C:\Windows\system32\dnsrslvr.dll
2011-04-14 10:40:09 ----A---- C:\Windows\system32\dnscacheugc.exe
2011-04-14 10:40:02 ----A---- C:\Windows\system32\mshtml.dll
2011-04-14 10:40:01 ----A---- C:\Windows\system32\urlmon.dll
2011-04-14 10:40:01 ----A---- C:\Windows\system32\ieapfltr.dll
2011-04-14 10:40:00 ----A---- C:\Windows\system32\mshtmled.dll
2011-04-14 10:39:55 ----A---- C:\Windows\system32\wininet.dll
2011-04-14 10:39:55 ----A---- C:\Windows\system32\ieframe.dll
2011-04-14 10:39:55 ----A---- C:\Windows\system32\ieaksie.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\occache.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\mstime.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\msfeeds.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\jsproxy.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\iertutil.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\iepeers.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\ieencode.dll
2011-04-14 10:39:54 ----A---- C:\Windows\system32\iedkcs32.dll
2011-04-14 10:39:47 ----A---- C:\Windows\system32\win32k.sys
2011-04-14 10:39:43 ----A---- C:\Windows\system32\vbscript.dll
2011-04-14 10:39:42 ----A---- C:\Windows\system32\jscript.dll
2011-04-14 10:39:38 ----A---- C:\Windows\system32\inetcomm.dll

======List of files/folders modified in the last 3 months======

2011-06-18 14:54:44 ----D---- C:\Program Files\Trend Micro
2011-06-18 14:53:50 ----D---- C:\Windows\Temp
2011-06-18 14:33:00 ----SHD---- C:\System Volume Information
2011-06-18 14:09:41 ----D---- C:\Windows\system32\catroot
2011-06-18 14:09:39 ----D---- C:\Windows\system32\catroot2
2011-06-18 14:09:27 ----D---- C:\Windows\winsxs
2011-06-18 13:54:32 ----D---- C:\Windows\Prefetch
2011-06-10 10:26:39 ----SHD---- C:\Windows\Installer
2011-05-29 17:23:02 ----D---- C:\Program Files\Mozilla Firefox
2011-05-19 00:31:54 ----A---- C:\Windows\system32\mrt.exe
2011-05-19 00:29:32 ----D---- C:\Program Files\Windows Mail
2011-05-19 00:10:35 ----D---- C:\Windows\System32
2011-05-19 00:10:35 ----D---- C:\Windows\AppPatch
2011-05-05 22:45:36 ----HD---- C:\ProgramData
2011-05-05 21:30:35 ----D---- C:\Windows
2011-04-23 16:30:44 ----HD---- C:\ProgramData\Spybot - Search & Destroy
2011-04-22 23:34:36 ----D---- C:\Windows\Microsoft.NET
2011-04-22 23:33:14 ----RSD---- C:\Windows\assembly
2011-04-15 19:47:25 ----D---- C:\Windows\system32\drivers
2011-04-15 19:47:23 ----D---- C:\Program Files\Internet Explorer
2011-04-15 19:20:50 ----A---- C:\Windows\system32\PerfStringBackup.INI
2011-04-15 19:20:47 ----D---- C:\Windows\inf

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 O2MDRDR;O2MDRDR; C:\Windows\system32\DRIVERS\o2media.sys [2006-11-20 38400]
R0 O2SDRDR;O2SDRDR; C:\Windows\system32\DRIVERS\o2sd.sys [2006-11-17 31360]
R0 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys [2009-02-01 717296]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-05-25 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-10 56816]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\Windows\system32\Drivers\CVPNDRVA.sys [2010-03-23 308859]
R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]
R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-04 8192]
R3 aver7700;AVerMedia aver7700 DVB-T; C:\Windows\System32\Drivers\aver7700.sys [2006-10-24 165504]
R3 DNE;Deterministic Network Enhancer Miniport; C:\Windows\system32\DRIVERS\dne2000.sys [2008-11-16 131984]
R3 E100B;Intel(R) PRO Network Connection Driver; C:\Windows\system32\DRIVERS\e100b325.sys [2006-10-31 165760]
R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2006-10-18 986624]
R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2006-10-18 206848]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2006-11-23 1652968]
R3 NETw3v32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-10-30 1786880]
R3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-24 2085888]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2006-10-23 179896]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2006-10-18 659968]
R3 X10Hid;X10 Hid Device; C:\Windows\System32\Drivers\x10hid.sys [2006-11-17 13976]
R3 XUIF;X10 USB Wireless Transceiver; C:\Windows\System32\Drivers\x10ufx2.sys [2006-11-30 27416]
S3 aad8t3zf;aad8t3zf; C:\Windows\system32\drivers\aad8t3zf.sys []
S3 camfilt2;camfilt2; C:\Windows\system32\DRIVERS\camfilt2.sys [2007-08-06 94720]
S3 CVirtA;Cisco Systems VPN Adapter; C:\Windows\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 FETNDIS;VIA Rhine-Familie--Fast-Ethernet-Adaptertreiberdienst; C:\Windows\system32\DRIVERS\fetnd5.sys [2006-11-02 45568]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2006-11-02 200704]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 nmwcd;Nokia USB Phone Parent; C:\Windows\system32\drivers\ccdcmb.sys [2008-05-07 17536]
S3 nmwcdc;Nokia USB Generic; C:\Windows\system32\drivers\ccdcmbo.sys [2008-05-07 20864]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\Windows\system32\DRIVERS\pccsmcfd.sys [2007-09-17 21632]
S3 SNPSTD3;Hercules Classic Silver; C:\Windows\system32\DRIVERS\snpstd3.sys [2007-07-17 10371072]
S3 upperdev;upperdev; C:\Windows\system32\DRIVERS\usbser_lowerflt.sys [2008-06-06 8064]
S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-19 73088]
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]
S3 usbser;USB Modem Driver; C:\Windows\system32\drivers\usbser.sys [2008-01-19 28160]
S3 UsbserFilt;UsbserFilt; C:\Windows\system32\DRIVERS\usbser_lowerfltj.sys [2008-05-07 8064]
S3 uxddrv;Dynamically loaded UxdDrv; \??\e:\DIAGNOSE\WSTGER32\2part\uxddrv.sys []
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-19 39936]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2006-11-02 82432]
S4 UIUSys;Conexant Setup API; C:\Windows\system32\DRIVERS\UIUSYS.SYS []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2006-11-24 557056]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe [2010-03-23 1528616]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]
R2 MSSQL$CSSQL05;SQL Server (CSSQL05); C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 29178224]
R2 O2Flash;O2Micro Flash Memory; C:\Windows\system32\o2flash.exe [2006-10-19 65536]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2006-12-19 272024]
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R2 SQLBrowser;SQL Server Browser; C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2007-02-10 242544]
R2 SQLWriter;SQL Server VSS Writer; C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2007-02-10 89968]
R2 srvcPVR;Sceneo PVR Service; C:\Program Files\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-12-15 1459712]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2006-08-04 386560]
R3 ServiceLayer;ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2008-08-07 575488]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 gupdate;Google Update Service (gupdate); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-07-02 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe []
S3 gupdatem;Google Update-Dienst (gupdatem); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-07-02 133104]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2006-12-05 774144]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2006-12-23 262144]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WPFFontCache_v0400;@c:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCac he_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S4 MSSQLServerADHelper;SQL Server Active Directory Helper; C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]

-----------------EOF-----------------

[Pablo]

Wäre sehr dankbar, wenn mir jemand helfen könnte...

[AHT]

Schauen wir mal, ob wir deine Sachen schon wiederbekommen:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPF_Scan1
DOWNLOAD->http://www.osnanet.de/andreas.hoetker/Progs/AHT_UNHIDE.exe>C:\PPFS_Tools\AHT_unhide.exe
SLEEP->30000
DOWNLOAD->http://www.osnanet.de/andreas.hoetker/Progs/AHT_UNHIDE.exe>C:\PPFS_Tools\AHT_unhide.exe
SLEEP->15000
CREATE_BATCH_FILE->C:\PPFS_Tools\UNHIDE.BAT
WRITE_BATCH->C:\PPFS_Tools\AHT_UNHIDE.EXE "CLEAR" "C:\PPF_Scan1\UNHIDE.TXT"
OPEN->C:\PPFS_Tools\UNHIDE.BAT
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Der Scanner wird versuchen, sich eine Datei aus dem Internet herunterzuladen. Fragt deine Firewall nach, erlaube dem Scanner den Internetzugriff.
• Es erscheint nach etwa zwei Minuten eine schwarze DOS Box, schließe die nicht und lass den Rechner in Ruhe, bis der Scan beendet ist.
  
• Nach dem Scan befinden sich im Ordner C:\PPF_Scan1 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Kann, je nach Festplattengröße und Auslastung, lange dauern - nicht wundern. Einmal bitte dann berichten, ob die Dateien danach wieder sichtbar sind. Danach geht's weiter.

[Pablo]

Hi =) Vielen Dank für deine Hilfe. War die letzten Tage nicht da und hab deine Nachricht erst jetzt gelesen. Hab aber jetzt deine Anweisungen befolgt.

Die Dateien sind jetzt wieder da =) Bin echt erleichtert.

Folgende Datei wurde durch den Scan erhalten:

File-Upload.net - UNHIDE.TXT

Ist denn das Problem bzw auch der Virus somit behoben? Oder sind noch weitere Maßnahmen nötig?

besten Gruß

Pablo

[AHT]

Nein, noch nicht behoben. Schau das Startmenü an. Fehlen da Einträge?



Als nächstes das hier tun:

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Auf Nachfrage Dateien überschreiben lassen.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Fehlen keine Startmenüeinträge, mache danach das:

• Lade Combofix herunter
• ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden!), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung)
• nichts machen, keine Mausbewegung, abwarten der PC startet neu das Log was erscheint in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten.

Fehlen Startmenüeinträge, bitte erst melden. Die müssen wir dann erst wiederbekommen.

[AHT]

Besteht noch Interesse an der Bereinigung?

[Pablo]

Hallo,

tut mir leid, dass ich mich erst jetzt wieder melde. War aus privaten Gründen eine längere Zeit nicht zu Hause. Wäre aber ihnen sehr dankbar, wenn sie sich noch einmal Zeit für mich nehmen würden.

Ich habe mir das Startmenü angeschaut und keine fehlenden Einträge feststellen können.

Der PPF-Scan hat folgedne Dateien erstellt:

File-Upload.net - Drivers.txt

File-Upload.net - Eventlog.txt

File-Upload.net - Files.txt

File-Upload.net - Firewall.txt

File-Upload.net - Hidden.txt

File-Upload.net - MD5.txt

File-Upload.net - Modules.txt

File-Upload.net - ppFiles.txt

File-Upload.net - ppRegistry.txt

File-Upload.net - Processes.txt

File-Upload.net - Scripting.txt

File-Upload.net - Services.txt

File-Upload.net - Threads.txt

File-Upload.net - UNHIDE.TXT

File-Upload.net - Warnings.txt


Der Combofix-Scan hat diese Datei hervorgebracht:

File-Upload.net - log-file-Combofix.txt


Vielen Dank für ihre Hilfe schonmal im voraus.

viele Grüße

[AHT]

Bei dir läuft scheinbar noch SP1 von Vista - Vista sofort updaten auf SP2 und danach alle angebotenen Updates ziehen!!!

Danach:
Download : TDSSKiller.zip

• Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• Warte bis zum Ende der Untersuchung und der Desinfektion.
• Poste das Ergebnis.

_________

Mindestens eine externe Festplatte ist dem LOG nach mit einem Virus infiziert.

Code:

{87d2c669-9fc3-11df-87b6-a7e5017a8547}
  shell -> None
  shell\Open\Command -> G:\9dlvtiil.exe
  shell\AutoRun\Command -> G:\9dlvtiil.exe
  [_??_USBSTOR#Disk&Ven_&Prod_USB_DISK_2.0&Rev_PMAP#0792053D23EE&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}]

9dlvtiil.exe | ThreatExpert statistics

Nachdem Vista alle Updates hat, AntiVir updaten. Alle externen Datenträger nacheinander anschließen und auf Viren prüfen lassen. Alle Funde löschen.

[Pablo]

Hallo,

hab SP2 installiert und alle Updates gezogen. Der TDSSKiller-Scan hat folgende log-Datei erstellt:

File-Upload.net - TDSSKiller_log.txt

Externe Festplatten besitze ich nicht. Konnte deshalb hierzu nichts prüfen.

Viele Grüße

[AHT]

Kann ein älterer Eintrag sein, irgendwas hing da mal dran (USB-Stick, Speicherkarte, Kamera,...).
Solche Datenträger, wenn vorhanden, prüfen.

[Pablo]

Hab jetzt alle Datenträger, die ich noch habe, geprüft. Sind alle in Ordnung. Es handelte sich bestimmt um n älteren USB-Stick.

Bin ich denn jetzt mit den Anti-Virus-Maßnahmen fertig?

viele Grüße

[AHT]

Ja, sieht OK aus. Passwörter sicherheitshalber ändern (ebay, EMAIL,...).