Virus, der alle Virenscans killt

Rheinland · 10.07.2011, 22:45

Guten Abend zusammen,

letzten Freitag wollte ich mein standardmäßig installiertes Programm Avira den Systemcheck durchführen lassen. Jedoch reagierte das Programm nicht auf meine Start-Anweisung.

Daraufhin habe ich XoftSpySE laufen lassen. Nach wenigen Sekunden brach der Scan ohne Ergebnis ab. Das Icon auf dem Desktop veränderte sich, und wenn ich jetzt darauf klicke, kommt die Fehlermeldung: "Auf das angegebene Gerät bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können".

Als nächstes hatte ich mir Malwarebytes' Anti-Malware herunter geladen und installiert. Ergebnis: Dasselbe wie beim XoftSpy. Auch die Deinstallation und anschließende Neuinstallation haben nichts geändert.

Der Versuch, mittels Online-Virenscanner (Bit-Defender) endete ebenfalls mit der Beendigung nach wenigen Sekunden und der Beschädigung von Firefox, worüber ich den Scanner aufgerufen hatte. Zum Glück hatte ich parallel Chrome installiert, so dass ich Firefox de- und wieder neu installieren konnte.

Nach der Anleitung in diesem Forum habe ich Defogger herunter gelanden. Die Log-Datei sieht so aus:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:21 on 10/07/2011 (User)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read 1199536707.sys
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

Das Scannen mit OTL war nicht möglich -> Abbruch und siehe Xilisoft.

Als nächstes Gmer, hier das Ergebnis:

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit quick scan 2011-07-10 22:40:21
Windows 5.1.2600 Service Pack 3
Running: u63sdlfo.exe; Driver: H:\DOKUME~1\User\LOKALE~1\Temp\pwacqaoc.sys

---- Devices - GMER 1.0.15 ----

Device atapi.sys (IDE/ATAPI Port Driver/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\Udp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys
AttachedDevice \Driver\Tcpip \Device\RawIp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread System [4:112] B9878D20
Thread System [4:116] B9878D20
Thread System [4:120] BA24FCC0
Thread System [4:124] BA24FCC0

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [MANUAL] 1199536707 <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Die angegebene Datei 1199536707.sys finde ich unter Windows/System32/drivers. Ich nehme schwer an, dass diese dafür verantwortlich ist. Aber ich bekomme sie dort nicht weg!

Nachtrag: Jetzt habe ich auch noch einen redirect! Wenn ich in FF bei Google
etwas eingebe, steht links unten im Browser "100ksearches" - und ich lande auf einer XXX-Seite.

Gibt es noch eine Rettung - oder muss ich mein System wirklich neu aufsetzen???

Vielen Dank für eure Hilfe
Rheinland

cosinus · 11.07.2011, 11:12

Zitat:

Als nächstes hatte ich mir Malwarebytes' Anti-Malware herunter geladen und installiert. Ergebnis: Dasselbe wie beim XoftSpy. Auch die Deinstallation und anschließende Neuinstallation haben nichts geändert.

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Rheinland · 11.07.2011, 13:23

Hallo Arne,

danke für den Tipp, habe es probiert. Mit demselben Ergebnis wie vorher. Ich habe auch den OTH herunter geladen. Öffnen lässt er sich, aber wenn ich "Kill all processes" klicke, killt er gar nichts. er macht einfach nichts. Und ein zweites Mal lässt er sich danach nicht mehr öffnen.

Noch einen anderen Vorschlag bitte...

Danke & vG
Rheinland

cosinus · 11.07.2011, 13:27

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Rheinland · 11.07.2011, 14:26

Auch das hat leider nicht funktioniert!

Ich habe das Programm herunter geladen, auf das Desktop verschoben, geöffnet, den Text kopiert, eingefügt, Firefox und Kerio Firewall geschlossen und Quick Scan gedrückt. Nach 1 Sekunde war das Fenster verschwunden. Ein erneuter Start war auch hier nicht möglich.

Aber als ich die Firewall wieder eingeschaltet habe, bekam ich die Mitteilung, dass mein Rechner versucht, diverse Verbindungen über Port 21315 zu wählen. Ungefähr 20 Mal musste ich "ablehnen" drücken. Und nach einer Minute das Ganze von vorn.

Nach dem Neustart sieht das OTL Programm-Icon auf dem Desktop genau so aus wie die anderen Viren- und Trojanerprogramme.

cosinus · 11.07.2011, 15:14

Hast du einen 2. funktionierenden/sauberen Rechner mit Brenner? Wenn ja, erstell über diesen eine OTLPE-CD und boote den infizierten Windows-PC damit:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Rheinland · 11.07.2011, 22:11

So, hat etwas länger gedauert, aber ich habe meine alte Ersatz-Möhre dazu gebracht, das Programm herunterzuladen und zu brennen.

Das Booten von CD klappte, und nach einigen Minuten hatte ich den REATOGO-Bildschirm. Beim Doppelklick auf das OTLPE-Icon wurde ich NICHT gefragt, ob ich die "remote registry" laden möchte, sondern direkt nach den user profiles. Nach dem Scan öffnete sich auch nur das Fenster "OTL.txt", nicht aber "Extras.txt".

Hier der Inhalt:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 7/11/2011 11:15:35 PM - Run 
OTLPE by OldTimer - Version 3.1.47.1     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: d.M.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 86.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): h:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48.83 Gb Total Space | 3.09 Gb Free Space | 6.32% Space Free | Partition Type: NTFS
Drive D: | 244.14 Gb Total Space | 108.10 Gb Free Space | 44.28% Space Free | Partition Type: NTFS
Drive E: | 249.25 Gb Total Space | 142.37 Gb Free Space | 57.12% Space Free | Partition Type: NTFS
Drive F: | 224.61 Gb Total Space | 184.22 Gb Free Space | 82.02% Space Free | Partition Type: NTFS
Drive L: | 229.88 Gb Total Space | 138.24 Gb Free Space | 60.13% Space Free | Partition Type: NTFS
Drive X: | 436.60 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)
SRV - File not found [Disabled] --  -- (HidServ)
SRV - File not found [Auto] --  -- (FreeAgentGoNext Service)
SRV - File not found [On_Demand] --  -- (DAUpdaterSvc)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - File not found [Auto] --  -- (Adobe Version Cue CS2)
SRV - [2011/02/18 10:37:16 | 000,037,664 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010/12/26 08:22:56 | 000,267,944 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010/12/26 08:22:56 | 000,135,336 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/07/14 08:37:10 | 000,066,056 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R)
SRV - [2009/01/21 10:53:34 | 000,110,592 | ---- | M] (SMServer) [On_Demand] -- C:\WINDOWS\System32\snmvtsvc.exe -- (SMServer)
SRV - [2008/01/18 14:44:56 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2007/01/31 09:55:42 | 000,098,304 | ---- | M] (Canon Inc.) [Auto] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2006/12/14 11:00:00 | 000,544,768 | ---- | M] (Magix AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- (UPnPService)
SRV - [2005/11/17 09:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand] -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2004/04/15 06:05:40 | 001,949,696 | ---- | M] (Kerio Technologies) [Auto] -- C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe -- (KPF4)
SRV - [2003/07/28 07:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/03/09 18:31:02 | 000,065,795 | R--- | M] (HP) [On_Demand] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand] --  -- (cpuz132)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (catchme)
DRV - [2011/07/08 09:53:56 | 000,015,872 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\1199536707.sys -- (1199536707)
DRV - [2011/04/01 04:23:02 | 000,037,920 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2011/04/01 04:22:58 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rrnetcap.sys -- (RRNetCapMP)
DRV - [2011/04/01 04:22:58 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rrnetcap.sys -- (RRNetCap)
DRV - [2011/02/19 08:15:05 | 000,082,380 | ---- | M] (Oak Technology Inc.) [Kernel | System] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2010/12/26 08:22:56 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010/12/26 08:22:56 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/01/03 07:19:55 | 000,002,368 | ---- | M] (AntiCracking) [Kernel | Auto] -- C:\WINDOWS\system32\STEC3.sys -- (STEC3)
DRV - [2009/11/10 06:54:06 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2009/11/10 06:40:30 | 000,036,864 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\SSHDRV61.sys -- (SSHDRV61)
DRV - [2009/06/10 10:49:32 | 000,024,576 | ---- | M] (HTC, Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ANDROIDUSB.sys -- (HTCAND32)
DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/01/21 11:28:58 | 000,003,768 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SndTVideo.sys -- (SndTVideo)
DRV - [2009/01/21 11:28:52 | 000,023,096 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SndTAudio.sys -- (SndTAudio)
DRV - [2008/08/01 09:27:35 | 000,099,648 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AnyDVD.sys -- (AnyDVD)
DRV - [2008/06/30 14:47:22 | 000,076,288 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\SSHDRV82.sys -- (SSHDRV82)
DRV - [2008/04/13 14:40:46 | 000,062,976 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\cdrom.sys -- (Cdrom)
DRV - [2008/04/04 13:34:26 | 000,014,208 | ---- | M] (MAGIX) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\disksec.sys -- (DiskSec)
DRV - [2008/01/05 08:45:19 | 000,015,600 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - [2007/08/07 05:40:38 | 000,098,944 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007/07/18 07:26:04 | 004,547,584 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/06/13 11:47:12 | 000,048,256 | R--- | M] (JMicron Technology Corp.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\jraid.sys -- (JRAID)
DRV - [2007/03/16 05:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007/03/16 05:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)
DRV - [2007/02/15 20:57:04 | 000,034,760 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL)
DRV - [2007/02/15 20:56:49 | 000,011,984 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ElbyDelay.sys -- (ElbyDelay)
DRV - [2005/10/27 23:38:18 | 000,402,432 | R--- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ZD1211BU.sys -- (ZD1211BU(ZyDAS)) ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS)
DRV - [2004/04/15 06:02:56 | 000,147,456 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\fwdrv.sys -- (fwdrv)
DRV - [1999/09/10 07:06:00 | 000,025,244 | R--- | M] (Adaptec) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\ASPI32.sys -- (Aspi32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.msn.com
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
 
IE - HKU\Ulli_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com
IE - HKU\User_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\User_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011/07/05 03:08:04 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: H:\Programme\Mozilla Firefox\components [2011/07/09 05:06:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: H:\Programme\Mozilla Firefox\plugins [2011/07/09 05:04:50 | 000,000,000 | ---D | M]
 
[2011/07/09 05:06:36 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/07/09 05:04:42 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/07/09 05:04:44 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2011/07/09 05:04:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/07/09 05:04:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011/07/09 05:04:47 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/07/09 05:04:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011/06/16 00:32:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010/07/20 11:21:40 | 000,106,192 | ---- | M] ( ) -- C:\Programme\mozilla firefox\plugins\npstrlnk.dll
[2010/01/01 04:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/01/01 04:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2010/01/01 04:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010/01/01 04:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/01/01 04:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/01/01 04:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKU\User_ON_C\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\User_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [THGuard] C:\Programme\TrojanHunter 5.3\THGuard.exe (Mischel Internet Security)
O4 - HKLM..\Run: [TkBellExe] C:\programme\real\realplayer\update\realsched.exe (RealNetworks, Inc.)
O4 - HKU\Administrator_ON_C..\RunOnce: [NeroHomeFirstStart]  File not found
O4 - HKU\Ulli_ON_C..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10m_Plugin.exe (Adobe Systems, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKU\Ulli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108863
O9 - Extra Button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - Reg Error: Value error. File not found
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} -  File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 -  File not found
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199618312453 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.254
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011/07/03 12:08:05 | 000,000,000 | ---D | M] - D:\Autos -- [ NTFS ]
O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - L:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/07/10 14:37:14 | 000,000,000 | --SD | C] -- C:\ComboFix
[2011/07/10 13:38:28 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011/07/10 13:34:59 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011/07/10 13:34:59 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011/07/10 13:34:59 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011/07/10 13:34:59 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011/07/10 13:34:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011/07/10 13:34:40 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011/07/10 13:34:39 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\Verwaltung
[2011/07/10 13:31:45 | 004,138,980 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
[2011/07/10 13:31:00 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\User\Recent
[2011/07/10 13:19:10 | 000,000,000 | ---D | C] -- C:\Avenger
[2011/07/08 17:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\Google Chrome
[2011/07/08 15:54:16 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security
[2011/07/08 12:54:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2011/07/08 12:39:12 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011/07/08 11:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
[2011/07/08 11:18:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011/07/08 11:11:43 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
[2011/07/08 11:09:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira
[2011/07/08 11:08:00 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2011/07/08 11:08:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2011/07/08 11:08:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2011/07/08 11:08:00 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör
[2011/07/08 11:08:00 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2011/07/08 11:08:00 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
[2011/07/08 11:08:00 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150060}
[2011/07/08 11:01:49 | 009,435,312 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\User\Desktop\mbam-setup-1.51.0.1200.com
[2011/07/08 10:52:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\QuickScan
[2011/07/08 10:10:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TrojanHunter
[2011/07/08 10:10:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrojanHunter
[2011/07/08 10:10:52 | 000,000,000 | ---D | C] -- C:\Programme\TrojanHunter 5.3
[2011/07/08 09:50:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GreatBarcodeGenerator.com
[2011/07/06 16:16:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FileZilla FTP Client
[2011/07/05 03:08:05 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\xing shared
[2011/07/05 03:07:58 | 000,198,848 | ---- | C] (RealNetworks, Inc.) -- C:\WINDOWS\System32\rmoc3260.dll
[2011/07/05 03:07:49 | 000,006,656 | ---- | C] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5016.dll
[2011/07/05 03:07:49 | 000,005,632 | ---- | C] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5032.dll
[2011/07/05 03:07:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Real
[2011/06/23 18:10:42 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys
[2011/06/22 17:46:38 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011/06/22 17:46:38 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011/06/22 17:46:38 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011/06/16 18:11:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2003/10/16 04:48:54 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiw.exe
[2003/10/16 04:48:54 | 001,708,856 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsi.exe
 
========== Files - Modified Within 30 Days ==========
 
[2011/07/11 14:12:01 | 000,000,444 | ---- | M] () -- C:\WINDOWS\tasks\PCCT - MAGIX AG.job
[2011/07/11 14:09:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011/07/11 13:22:00 | 000,001,206 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2000478354-1614895754-839522115-1004UA.job
[2011/07/11 12:06:10 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2011/07/11 11:00:00 | 000,000,430 | ---- | M] () -- C:\WINDOWS\tasks\XoftSpySE 2.job
[2011/07/11 09:16:35 | 000,000,268 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2000478354-1614895754-839522115-1004.job
[2011/07/11 09:16:29 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011/07/11 09:16:14 | 000,000,560 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwdrv.err
[2011/07/11 09:05:37 | 000,579,584 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe
[2011/07/11 02:25:22 | 000,013,588 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/07/11 02:25:22 | 000,013,588 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak
[2011/07/10 19:02:34 | 000,000,045 | ---- | M] () -- C:\WINDOWS\popcinfot.dat
[2011/07/10 17:22:00 | 000,001,154 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2000478354-1614895754-839522115-1004Core.job
[2011/07/10 16:35:49 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\u63sdlfo.exe
[2011/07/10 16:21:09 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\User\defogger_reenable
[2011/07/10 16:19:36 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Defogger.exe
[2011/07/10 13:38:32 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2011/07/10 13:31:55 | 004,138,980 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
[2011/07/10 11:06:53 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Microsoft Office Outlook 2003.lnk
[2011/07/09 05:06:38 | 000,000,714 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2011/07/09 05:06:38 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011/07/09 05:06:38 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011/07/08 17:18:52 | 000,002,357 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Google Chrome.lnk
[2011/07/08 17:18:52 | 000,002,335 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2011/07/08 15:55:10 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2000478354-1614895754-839522115-1004.job
[2011/07/08 15:50:58 | 000,000,036 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2011/07/08 12:54:32 | 000,258,560 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\OTH(3).scr
[2011/07/08 11:02:01 | 009,435,312 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\User\Desktop\mbam-setup-1.51.0.1200.com
[2011/07/08 10:11:01 | 000,059,392 | R--- | M] () -- C:\WINDOWS\System32\streamhlp.dll
[2011/07/08 10:10:57 | 000,000,690 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\TrojanHunter Scanner.lnk
[2011/07/08 10:10:57 | 000,000,672 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\TrojanHunter.lnk
[2011/07/08 10:10:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TrojanHunter
[2011/07/08 09:53:56 | 000,015,872 | ---- | M] () -- C:\WINDOWS\System32\drivers\1199536707.sys
[2011/07/06 16:16:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FileZilla FTP Client
[2011/07/06 14:30:50 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011/07/06 06:02:42 | 000,002,311 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 6.0 Professional.lnk
[2011/07/05 04:49:02 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011/07/05 03:08:12 | 000,000,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer.lnk
[2011/07/05 03:08:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Real
[2011/07/05 03:07:58 | 000,198,848 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\rmoc3260.dll
[2011/07/05 03:07:49 | 000,006,656 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5016.dll
[2011/07/05 03:07:49 | 000,005,632 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5032.dll
[2011/07/05 03:07:47 | 000,272,896 | ---- | M] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll
[2011/07/04 05:42:33 | 000,247,808 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/07/01 03:15:23 | 000,000,305 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Goya.ini
[2011/07/01 03:15:23 | 000,000,130 | ---- | M] () -- C:\WINDOWS\Goya.INI
[2011/06/26 02:45:56 | 000,256,000 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2011/06/21 19:22:16 | 000,111,104 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/06/18 03:19:08 | 000,002,347 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk
[2011/06/17 07:09:12 | 000,000,145 | ---- | M] () -- C:\Dokumente und Einstellungen\User\default.pls
[2011/06/16 18:11:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
 
========== Files Created - No Company Name ==========
 
[2011/07/11 02:25:23 | 000,013,588 | ---- | C] () -- C:\WINDOWS\System32\wpa.bak
[2011/07/11 02:23:32 | 000,013,588 | ---- | C] () -- C:\WINDOWS\System32\wpa.dbl
[2011/07/11 02:23:31 | 000,000,560 | ---- | C] () -- C:\WINDOWS\System32\drivers\fwdrv.err
[2011/07/10 16:35:49 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\u63sdlfo.exe
[2011/07/10 16:27:28 | 000,579,584 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe
[2011/07/10 16:21:00 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\User\defogger_reenable
[2011/07/10 16:19:36 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Defogger.exe
[2011/07/10 13:38:32 | 000,000,210 | ---- | C] () -- C:\Boot.bak
[2011/07/10 13:38:30 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011/07/10 13:34:59 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011/07/10 13:34:59 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011/07/10 13:34:59 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011/07/10 13:34:59 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011/07/10 13:34:59 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011/07/10 13:15:30 | 000,731,136 | ---- | C] () -- C:\avenger.exe
[2011/07/09 05:06:38 | 000,000,714 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2011/07/09 05:06:38 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011/07/09 05:06:38 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011/07/08 17:18:52 | 000,002,357 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Google Chrome.lnk
[2011/07/08 17:18:52 | 000,002,335 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2011/07/08 15:50:58 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2011/07/08 12:54:32 | 000,258,560 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\OTH(3).scr
[2011/07/08 11:08:01 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk
[2011/07/08 11:08:01 | 000,001,392 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Recovery-Info.lnk
[2011/07/08 11:08:01 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk
[2011/07/08 10:10:57 | 000,000,690 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\TrojanHunter Scanner.lnk
[2011/07/08 10:10:57 | 000,000,672 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\TrojanHunter.lnk
[2011/07/08 10:10:52 | 000,059,392 | R--- | C] () -- C:\WINDOWS\System32\streamhlp.dll
[2011/07/08 09:53:56 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\drivers\1199536707.sys
[2011/07/05 03:08:32 | 000,000,276 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2000478354-1614895754-839522115-1004.job
[2011/07/05 03:08:32 | 000,000,268 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2000478354-1614895754-839522115-1004.job
[2011/07/05 03:08:12 | 000,000,817 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer.lnk
[2011/05/16 07:49:19 | 000,111,104 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/04/28 04:25:34 | 000,012,492 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp DSP Effects.dat
[2011/04/28 04:25:28 | 000,018,028 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2011/04/28 03:45:23 | 000,003,222 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp m4a Codec.dat
[2011/04/28 03:44:30 | 000,003,617 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp m4a Nero AAC Encoder.dat
[2011/02/07 05:08:48 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2010/12/22 06:45:04 | 000,000,046 | ---- | C] () -- C:\WINDOWS\PCCT.INI
[2010/10/11 02:46:00 | 000,000,045 | ---- | C] () -- C:\WINDOWS\popcinfot.dat
[2010/09/23 16:54:39 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\nnr.dll
[2010/08/16 05:09:03 | 000,000,088 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.SimImages
[2010/08/03 15:21:15 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\SI.bin
[2010/07/06 07:18:55 | 000,020,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T09F8
[2010/07/06 05:19:39 | 000,020,531 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\M33KI
[2010/04/28 14:45:05 | 000,009,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Ulli\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/01/03 07:20:39 | 000,000,029 | ---- | C] () -- C:\WINDOWS\AlphaPlayer.INI
[2009/11/10 06:40:30 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV61.sys
[2009/11/03 06:27:59 | 000,000,043 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009/10/25 11:44:20 | 000,001,375 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat
[2009/10/25 10:40:52 | 000,003,396 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Windows Media Audio 10 Codec.dat
[2009/10/19 17:23:50 | 000,000,030 | ---- | C] () -- C:\Programme\Exiferupdate.ini
[2009/09/12 05:46:44 | 000,032,368 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2009/08/26 11:12:35 | 000,025,752 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008/10/07 04:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008/10/07 04:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008/09/29 18:03:34 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\daspi32u.dll
[2008/09/29 18:03:34 | 000,000,234 | ---- | C] () -- C:\WINDOWS\Scanner.ini
[2008/07/31 13:24:28 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Goya.ini
[2008/07/31 13:24:22 | 000,000,130 | ---- | C] () -- C:\WINDOWS\Goya.INI
[2008/06/30 14:47:22 | 000,076,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV82.sys
[2008/06/30 13:19:16 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2008/06/30 13:18:32 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2008/04/01 18:04:28 | 000,038,503 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
[2008/01/20 15:25:16 | 000,561,152 | R--- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2008/01/20 14:30:41 | 000,003,307 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Windows Media Audio 9 Codec.dat
[2008/01/19 11:24:33 | 000,000,145 | ---- | C] () -- C:\Dokumente und Einstellungen\User\default.pls
[2008/01/19 11:17:50 | 003,835,624 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2008/01/18 14:50:53 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\FileOps.exe
[2008/01/11 16:59:37 | 000,040,960 | R--- | C] () -- C:\WINDOWS\System32\psfind.dll
[2008/01/07 19:35:18 | 000,001,142 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2008/01/06 13:56:52 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/01/06 13:43:43 | 000,001,024 | ---- | C] () -- C:\Dokumente und Einstellungen\User\.rnd
[2008/01/06 11:28:19 | 000,000,025 | ---- | C] () -- C:\WINDOWS\WinOnCD.ini
[2008/01/05 14:02:50 | 000,247,808 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/01/05 13:56:49 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/01/05 13:43:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008/01/05 10:57:15 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008/01/05 10:57:15 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2008/01/05 10:57:15 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008/01/05 10:57:15 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008/01/05 10:57:15 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2008/01/05 10:57:15 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2008/01/05 10:57:14 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008/01/05 10:57:14 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008/01/05 10:57:14 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008/01/05 10:53:17 | 000,000,558 | ---- | C] () -- C:\WINDOWS\DFC.INI
[2008/01/05 08:44:09 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008/01/05 08:23:45 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/01/05 08:08:11 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2008/01/05 08:02:06 | 000,023,504 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/01/05 07:50:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/01/05 07:48:53 | 000,325,704 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/12/15 09:55:30 | 002,510,848 | --S- | C] () -- C:\WINDOWS\System32\tlpsplib10.dll
[2005/11/11 06:43:28 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\libssl32.dll
[2005/11/11 06:43:24 | 000,887,296 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2005/08/31 04:20:00 | 000,233,557 | ---- | C] () -- C:\WINDOWS\System32\esint54.dll
[2005/07/15 07:32:44 | 000,327,680 | ---- | C] () -- C:\WINDOWS\System32\sdkdll ProDice.Dll
[2005/03/04 09:21:20 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF3600U.dll
[2005/01/05 08:55:12 | 000,229,376 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF1800AFL.dll
[2004/12/13 09:39:00 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PS3650.dll
[2004/12/10 04:51:00 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\IO_PORT.DLL
[2004/12/10 04:51:00 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\FVC.DLL
[2004/12/10 04:51:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\SQ1394.DLL
[2004/08/04 08:00:00 | 001,868,944 | ---- | C] () -- C:\WINDOWS\System32\RSA32_16.DLL
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,498,584 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,474,532 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,101,144 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,084,536 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,062,976 | ---- | C] () -- C:\WINDOWS\System32\drivers\cdrom.sys
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/04/15 06:02:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\drivers\fwdrv.sys
[2004/02/11 09:42:36 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\SS3600ICE.Dll
[2004/02/03 09:34:00 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL LC.dll
[2003/11/25 10:41:44 | 001,681,920 | ---- | C] () -- C:\Programme\InstantCopy.msi
[2003/11/19 10:30:50 | 000,001,302 | ---- | C] () -- C:\Programme\InstantCopy.ini
[2003/10/16 04:49:00 | 000,056,832 | ---- | C] () -- C:\Programme\trans1043.mst
[2003/10/16 04:48:58 | 000,055,808 | ---- | C] () -- C:\Programme\Trans1040.mst
[2003/10/16 04:48:58 | 000,055,808 | ---- | C] () -- C:\Programme\Trans1031.mst
[2003/10/16 04:48:56 | 000,056,832 | ---- | C] () -- C:\Programme\trans1036.mst
[2003/10/16 04:48:54 | 000,055,296 | ---- | C] () -- C:\Programme\Trans1034.mst
[2003/10/16 04:48:52 | 000,050,176 | ---- | C] () -- C:\Programme\InstantCopy.exe
[2003/10/16 04:42:22 | 005,999,354 | ---- | C] () -- C:\Programme\InstantCopy2.cab
[2003/10/16 04:42:06 | 010,337,745 | ---- | C] () -- C:\Programme\InstantCopy1.cab
[2003/09/25 09:14:04 | 000,062,464 | ---- | C] () -- C:\Programme\trans1042.mst
[2003/09/25 09:13:42 | 000,051,200 | ---- | C] () -- C:\Programme\trans1028.mst
[2003/09/25 09:13:22 | 000,051,200 | ---- | C] () -- C:\Programme\trans2052.mst
[2003/09/19 10:02:26 | 000,406,016 | ---- | C] () -- C:\WINDOWS\System32\PSDrvCheck.exe
[2003/07/30 05:48:28 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003/07/30 04:49:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003/07/21 13:09:38 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\sdkdll PowSlide.dll
[2003/07/21 13:09:38 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\PowSlide.dll
[2003/05/08 07:43:12 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF2700.dll
[2003/05/08 07:43:00 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF1800U.dll
[2003/05/06 13:29:00 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL Pf3600Pro.dll
[2003/02/20 12:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002/05/03 11:27:58 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL RFS3600.dll
[2002/05/03 11:27:58 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL 36SU.Dll
[2001/03/30 16:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
[1999/03/25 03:48:50 | 000,010,624 | ---- | C] () -- C:\WINDOWS\System32\GENEUSB.SYS
[1999/03/25 03:48:50 | 000,010,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\GENEUSB.SYS
[1996/10/10 20:01:20 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\Cbndll.dll
 
========== LOP Check ==========
 
[2009/03/26 15:20:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
[2009/12/26 08:09:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BioWare
[2009/11/10 06:53:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2008/02/02 09:29:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2010/05/17 07:04:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2010/05/22 11:28:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HTC
[2010/12/22 06:29:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2009/10/25 11:56:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
[2010/02/12 14:31:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2011/05/16 03:12:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
[2010/04/11 05:27:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seagate
[2009/11/15 18:32:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\System Restore
[2010/05/22 11:28:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
[2011/07/11 08:51:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011/05/10 06:01:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2011/07/08 10:11:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrojanHunter
[2010/02/23 08:25:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010/04/15 17:53:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009/11/03 05:59:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2010/10/27 02:37:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{DC681653-9E71-4C6E-BBB1-FBE8F830B07C}
[2011/07/11 14:12:01 | 000,000,444 | ---- | M] () -- C:\WINDOWS\Tasks\PCCT - MAGIX AG.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 48 bytes -> C:\WINDOWS:4A357E90C6A0C006
@Alternate Data Stream - 150 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B3D74A13
< End of report >

--- --- ---

cosinus · 11.07.2011, 22:17

Zitat:

[2011/07/10 14:37:14 | 000,000,000 | --SD | C] -- C:\ComboFix
[2011/07/10 13:38:28 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011/07/10 13:34:59 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011/07/10 13:34:59 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011/07/10 13:34:59 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011/07/10 13:34:59 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWSNIRCMD.exe

Wer hat dir gesagt du sollst Combofix ausführen!!

Warum erwähnst du kein Wort davon und postest auch nicht das Log?!

Rheinland · 11.07.2011, 22:33

Ähem... ich hatte es gestern versucht, nachdem ich einige Posts gelesen hatte - bevor ich meinen eröffnete...sorry...

Schlimm? Habe ich dadurch etwa etwas kaputt gemacht?

cosinus · 11.07.2011, 22:34

Ja, hast du die fetten Warnhinweise überlesen oder ignoriert?
Wo ist denn nun das Log von CF?

Rheinland · 11.07.2011, 22:54

Ich hatte Combofix scannen lassen. Ca. 5 Minuten rödelte das Programm auf den Festplatten, dann wurde es plötzlich still. Nichts tat sich, kein Geräusch. Ich wartete noch ca. 10 Minuten, dann brach ich ab. Zu früh?
Somit habe ich leider kein logfile.

cosinus · 11.07.2011, 23:04

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011/07/03 12:08:05 | 000,000,000 | ---D | M] - D:\Autos -- [ NTFS ]
O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - L:\autorun.inf -- [ NTFS ]
[2011/07/10 13:34:40 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011/07/11 09:16:14 | 000,000,560 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwdrv.err
[2011/07/08 09:53:56 | 000,015,872 | ---- | M] () -- C:\WINDOWS\System32\drivers\1199536707.sys
[2011/07/01 03:15:23 | 000,000,305 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Goya.ini
[2011/07/01 03:15:23 | 000,000,130 | ---- | M] () -- C:\WINDOWS\Goya.INI
@Alternate Data Stream - 48 bytes -> C:\WINDOWS:4A357E90C6A0C006
@Alternate Data Stream - 150 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B3D74A13
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Rheinland · 11.07.2011, 23:47

Hallo Arne,

das Fixen scheint geklappt zu haben. Hier ist der Logfile:

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File D:\autorun.inf not found.
File not found.
File F:\autorun.inf not found.
File L:\autorun.inf not found.
C:\Qoobox\TestC folder moved successfully.
C:\Qoobox\Test folder moved successfully.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine\H folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
C:\Qoobox\LastRun folder moved successfully.
C:\Qoobox\BackEnv folder moved successfully.
C:\Qoobox folder moved successfully.
C:\WINDOWS\system32\drivers\fwdrv.err moved successfully.
C:\WINDOWS\system32\drivers\1199536707.sys moved successfully.
C:\Dokumente und Einstellungen\User\Goya.ini moved successfully.
C:\WINDOWS\Goya.INI moved successfully.
ADS C:\WINDOWS:4A357E90C6A0C006 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B3D74A13 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.47.1 log created on 07132011_023421

Was allerdings nicht geklappt hat, ist den Ordner movedfiles zu zippen. Hier kommt die Meldung: Konnte...\...\drivers\1199536707.sys nicht öffnen. Zugriff verweigert.

Das scheint also die Sau zu sein... wie vermutet.

Zwischendurch muss ich einfach mal

sagen... für die Mühe, die du dir machst, und deine prompten Antworten.

Rheinland · 11.07.2011, 23:48

PS: Da es mit dem Zippen nicht geklappt habe, habe ich die Files auch nicht hochgeladen.

cosinus · 11.07.2011, 23:55

Zitat:

Hier kommt die Meldung: Konnte...\...\drivers\1199536707.sys nicht öffnen. Zugriff verweigert.

Du solltest den Virenscanner ja auch deaktivieren!!

11.07.2011, 22:34	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus, der alle Virenscans killt Ja, hast du die fetten Warnhinweise überlesen oder ignoriert? Wo ist denn nun das Log von CF? __________________ Logfiles bitte immer in CODE-Tags posten

Virus, der alle Virenscans killt

Log-Analyse und Auswertung: Virus, der alle Virenscans killt