|
Log-Analyse und Auswertung: Virus, der alle Virenscans killtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.07.2011, 22:45 | #1 |
| Virus, der alle Virenscans killt Guten Abend zusammen, letzten Freitag wollte ich mein standardmäßig installiertes Programm Avira den Systemcheck durchführen lassen. Jedoch reagierte das Programm nicht auf meine Start-Anweisung. Daraufhin habe ich XoftSpySE laufen lassen. Nach wenigen Sekunden brach der Scan ohne Ergebnis ab. Das Icon auf dem Desktop veränderte sich, und wenn ich jetzt darauf klicke, kommt die Fehlermeldung: "Auf das angegebene Gerät bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können". Als nächstes hatte ich mir Malwarebytes' Anti-Malware herunter geladen und installiert. Ergebnis: Dasselbe wie beim XoftSpy. Auch die Deinstallation und anschließende Neuinstallation haben nichts geändert. Der Versuch, mittels Online-Virenscanner (Bit-Defender) endete ebenfalls mit der Beendigung nach wenigen Sekunden und der Beschädigung von Firefox, worüber ich den Scanner aufgerufen hatte. Zum Glück hatte ich parallel Chrome installiert, so dass ich Firefox de- und wieder neu installieren konnte. Nach der Anleitung in diesem Forum habe ich Defogger herunter gelanden. Die Log-Datei sieht so aus: defogger_disable by jpshortstuff (23.02.10.1) Log created at 22:21 on 10/07/2011 (User) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... Unable to read 1199536707.sys Unable to read sptd.sys SPTD -> Disabled (Service running -> reboot required) -=E.O.F=- Das Scannen mit OTL war nicht möglich -> Abbruch und siehe Xilisoft. Als nächstes Gmer, hier das Ergebnis: GMER 1.0.15.15640 - hxxp://www.gmer.net Rootkit quick scan 2011-07-10 22:40:21 Windows 5.1.2600 Service Pack 3 Running: u63sdlfo.exe; Driver: H:\DOKUME~1\User\LOKALE~1\Temp\pwacqaoc.sys ---- Devices - GMER 1.0.15 ---- Device atapi.sys (IDE/ATAPI Port Driver/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys AttachedDevice \Driver\Tcpip \Device\Udp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys AttachedDevice \Driver\Tcpip \Device\RawIp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ---- Threads - GMER 1.0.15 ---- Thread System [4:112] B9878D20 Thread System [4:116] B9878D20 Thread System [4:120] BA24FCC0 Thread System [4:124] BA24FCC0 ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [MANUAL] 1199536707 <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- Die angegebene Datei 1199536707.sys finde ich unter Windows/System32/drivers. Ich nehme schwer an, dass diese dafür verantwortlich ist. Aber ich bekomme sie dort nicht weg! Nachtrag: Jetzt habe ich auch noch einen redirect! Wenn ich in FF bei Google etwas eingebe, steht links unten im Browser "100ksearches" - und ich lande auf einer XXX-Seite. Gibt es noch eine Rettung - oder muss ich mein System wirklich neu aufsetzen??? Vielen Dank für eure Hilfe Rheinland |
11.07.2011, 11:12 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, der alle Virenscans killtZitat:
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php
__________________ |
11.07.2011, 13:23 | #3 |
| Virus, der alle Virenscans killt Hallo Arne,
__________________danke für den Tipp, habe es probiert. Mit demselben Ergebnis wie vorher. Ich habe auch den OTH herunter geladen. Öffnen lässt er sich, aber wenn ich "Kill all processes" klicke, killt er gar nichts. er macht einfach nichts. Und ein zweites Mal lässt er sich danach nicht mehr öffnen. Noch einen anderen Vorschlag bitte... Danke & vG Rheinland |
11.07.2011, 13:27 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, der alle Virenscans killt CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
11.07.2011, 14:26 | #5 |
| Virus, der alle Virenscans killt Auch das hat leider nicht funktioniert! Ich habe das Programm herunter geladen, auf das Desktop verschoben, geöffnet, den Text kopiert, eingefügt, Firefox und Kerio Firewall geschlossen und Quick Scan gedrückt. Nach 1 Sekunde war das Fenster verschwunden. Ein erneuter Start war auch hier nicht möglich. Aber als ich die Firewall wieder eingeschaltet habe, bekam ich die Mitteilung, dass mein Rechner versucht, diverse Verbindungen über Port 21315 zu wählen. Ungefähr 20 Mal musste ich "ablehnen" drücken. Und nach einer Minute das Ganze von vorn. Nach dem Neustart sieht das OTL Programm-Icon auf dem Desktop genau so aus wie die anderen Viren- und Trojanerprogramme. |
11.07.2011, 15:14 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, der alle Virenscans killt Hast du einen 2. funktionierenden/sauberen Rechner mit Brenner? Wenn ja, erstell über diesen eine OTLPE-CD und boote den infizierten Windows-PC damit: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
__________________ --> Virus, der alle Virenscans killt |
11.07.2011, 22:11 | #7 |
| Virus, der alle Virenscans killt So, hat etwas länger gedauert, aber ich habe meine alte Ersatz-Möhre dazu gebracht, das Programm herunterzuladen und zu brennen. Das Booten von CD klappte, und nach einigen Minuten hatte ich den REATOGO-Bildschirm. Beim Doppelklick auf das OTLPE-Icon wurde ich NICHT gefragt, ob ich die "remote registry" laden möchte, sondern direkt nach den user profiles. Nach dem Scan öffnete sich auch nur das Fenster "OTL.txt", nicht aber "Extras.txt". Hier der Inhalt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 7/11/2011 11:15:35 PM - Run OTLPE by OldTimer - Version 3.1.47.1 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: d.M.yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 86.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free Paging file location(s): h:\pagefile.sys 0 0 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 48.83 Gb Total Space | 3.09 Gb Free Space | 6.32% Space Free | Partition Type: NTFS Drive D: | 244.14 Gb Total Space | 108.10 Gb Free Space | 44.28% Space Free | Partition Type: NTFS Drive E: | 249.25 Gb Total Space | 142.37 Gb Free Space | 57.12% Space Free | Partition Type: NTFS Drive F: | 224.61 Gb Total Space | 184.22 Gb Free Space | 82.02% Space Free | Partition Type: NTFS Drive L: | 229.88 Gb Total Space | 138.24 Gb Free Space | 60.13% Space Free | Partition Type: NTFS Drive X: | 436.60 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand] -- -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental) SRV - File not found [Disabled] -- -- (HidServ) SRV - File not found [Auto] -- -- (FreeAgentGoNext Service) SRV - File not found [On_Demand] -- -- (DAUpdaterSvc) SRV - File not found [On_Demand] -- -- (AppMgmt) SRV - File not found [Auto] -- -- (Adobe Version Cue CS2) SRV - [2011/02/18 10:37:16 | 000,037,664 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010/12/26 08:22:56 | 000,267,944 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010/12/26 08:22:56 | 000,135,336 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2009/07/14 08:37:10 | 000,066,056 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R) SRV - [2009/01/21 10:53:34 | 000,110,592 | ---- | M] (SMServer) [On_Demand] -- C:\WINDOWS\System32\snmvtsvc.exe -- (SMServer) SRV - [2008/01/18 14:44:56 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service) SRV - [2007/01/31 09:55:42 | 000,098,304 | ---- | M] (Canon Inc.) [Auto] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8) SRV - [2006/12/14 11:00:00 | 000,544,768 | ---- | M] (Magix AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- (UPnPService) SRV - [2005/11/17 09:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand] -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance) SRV - [2004/04/15 06:05:40 | 001,949,696 | ---- | M] (Kerio Technologies) [Auto] -- C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe -- (KPF4) SRV - [2003/07/28 07:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003/03/09 18:31:02 | 000,065,795 | R--- | M] (HP) [On_Demand] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand] -- -- (cpuz132) DRV - File not found [Kernel | System] -- -- (Changer) DRV - File not found [Kernel | On_Demand] -- -- (catchme) DRV - [2011/07/08 09:53:56 | 000,015,872 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\1199536707.sys -- (1199536707) DRV - [2011/04/01 04:23:02 | 000,037,920 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tbhsd.sys -- (tbhsd) DRV - [2011/04/01 04:22:58 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rrnetcap.sys -- (RRNetCapMP) DRV - [2011/04/01 04:22:58 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rrnetcap.sys -- (RRNetCap) DRV - [2011/02/19 08:15:05 | 000,082,380 | ---- | M] (Oak Technology Inc.) [Kernel | System] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K) DRV - [2010/12/26 08:22:56 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010/12/26 08:22:56 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010/01/03 07:19:55 | 000,002,368 | ---- | M] (AntiCracking) [Kernel | Auto] -- C:\WINDOWS\system32\STEC3.sys -- (STEC3) DRV - [2009/11/10 06:54:06 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - [2009/11/10 06:40:30 | 000,036,864 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\SSHDRV61.sys -- (SSHDRV61) DRV - [2009/06/10 10:49:32 | 000,024,576 | ---- | M] (HTC, Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ANDROIDUSB.sys -- (HTCAND32) DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009/01/21 11:28:58 | 000,003,768 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SndTVideo.sys -- (SndTVideo) DRV - [2009/01/21 11:28:52 | 000,023,096 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SndTAudio.sys -- (SndTAudio) DRV - [2008/08/01 09:27:35 | 000,099,648 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AnyDVD.sys -- (AnyDVD) DRV - [2008/06/30 14:47:22 | 000,076,288 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\SSHDRV82.sys -- (SSHDRV82) DRV - [2008/04/13 14:40:46 | 000,062,976 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\cdrom.sys -- (Cdrom) DRV - [2008/04/04 13:34:26 | 000,014,208 | ---- | M] (MAGIX) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\disksec.sys -- (DiskSec) DRV - [2008/01/05 08:45:19 | 000,015,600 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - [2007/08/07 05:40:38 | 000,098,944 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2007/07/18 07:26:04 | 004,547,584 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2007/06/13 11:47:12 | 000,048,256 | R--- | M] (JMicron Technology Corp.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\jraid.sys -- (JRAID) DRV - [2007/03/16 05:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel) DRV - [2007/03/16 05:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex) DRV - [2007/02/15 20:57:04 | 000,034,760 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL) DRV - [2007/02/15 20:56:49 | 000,011,984 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ElbyDelay.sys -- (ElbyDelay) DRV - [2005/10/27 23:38:18 | 000,402,432 | R--- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ZD1211BU.sys -- (ZD1211BU(ZyDAS)) ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS) DRV - [2004/04/15 06:02:56 | 000,147,456 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\fwdrv.sys -- (fwdrv) DRV - [1999/09/10 07:06:00 | 000,025,244 | R--- | M] (Adaptec) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\ASPI32.sys -- (Aspi32) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.msn.com IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Ulli_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE - HKU\User_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com IE - HKU\User_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\User_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011/07/05 03:08:04 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: H:\Programme\Mozilla Firefox\components [2011/07/09 05:06:37 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: H:\Programme\Mozilla Firefox\plugins [2011/07/09 05:04:50 | 000,000,000 | ---D | M] [2011/07/09 05:06:36 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011/07/09 05:04:42 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2011/07/09 05:04:44 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2011/07/09 05:04:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011/07/09 05:04:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} [2011/07/09 05:04:47 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2011/07/09 05:04:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} [2011/06/16 00:32:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2010/07/20 11:21:40 | 000,106,192 | ---- | M] ( ) -- C:\Programme\mozilla firefox\plugins\npstrlnk.dll [2010/01/01 04:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2010/01/01 04:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2010/01/01 04:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2010/01/01 04:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2010/01/01 04:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2010/01/01 04:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKU\User_ON_C\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\User_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [THGuard] C:\Programme\TrojanHunter 5.3\THGuard.exe (Mischel Internet Security) O4 - HKLM..\Run: [TkBellExe] C:\programme\real\realplayer\update\realsched.exe (RealNetworks, Inc.) O4 - HKU\Administrator_ON_C..\RunOnce: [NeroHomeFirstStart] File not found O4 - HKU\Ulli_ON_C..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10m_Plugin.exe (Adobe Systems, Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O7 - HKU\Ulli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108863 O9 - Extra Button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - Reg Error: Value error. File not found O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not found O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199618312453 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.254 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2011/07/03 12:08:05 | 000,000,000 | ---D | M] - D:\Autos -- [ NTFS ] O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - L:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011/07/10 14:37:14 | 000,000,000 | --SD | C] -- C:\ComboFix [2011/07/10 13:38:28 | 000,000,000 | RHSD | C] -- C:\cmdcons [2011/07/10 13:34:59 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2011/07/10 13:34:59 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2011/07/10 13:34:59 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2011/07/10 13:34:59 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2011/07/10 13:34:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2011/07/10 13:34:40 | 000,000,000 | ---D | C] -- C:\Qoobox [2011/07/10 13:34:39 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\Verwaltung [2011/07/10 13:31:45 | 004,138,980 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe [2011/07/10 13:31:00 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\User\Recent [2011/07/10 13:19:10 | 000,000,000 | ---D | C] -- C:\Avenger [2011/07/08 17:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\Google Chrome [2011/07/08 15:54:16 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security [2011/07/08 12:54:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2011/07/08 12:39:12 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011/07/08 11:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes [2011/07/08 11:18:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011/07/08 11:11:43 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien [2011/07/08 11:09:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira [2011/07/08 11:08:00 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft [2011/07/08 11:08:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo [2011/07/08 11:08:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten [2011/07/08 11:08:00 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör [2011/07/08 11:08:00 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü [2011/07/08 11:08:00 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart [2011/07/08 11:08:00 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies [2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen [2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung [2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen [2011/07/08 11:08:00 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung [2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft [2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia [2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten [2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop [2011/07/08 11:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150060} [2011/07/08 11:01:49 | 009,435,312 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\User\Desktop\mbam-setup-1.51.0.1200.com [2011/07/08 10:52:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\QuickScan [2011/07/08 10:10:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TrojanHunter [2011/07/08 10:10:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrojanHunter [2011/07/08 10:10:52 | 000,000,000 | ---D | C] -- C:\Programme\TrojanHunter 5.3 [2011/07/08 09:50:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GreatBarcodeGenerator.com [2011/07/06 16:16:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FileZilla FTP Client [2011/07/05 03:08:05 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\xing shared [2011/07/05 03:07:58 | 000,198,848 | ---- | C] (RealNetworks, Inc.) -- C:\WINDOWS\System32\rmoc3260.dll [2011/07/05 03:07:49 | 000,006,656 | ---- | C] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5016.dll [2011/07/05 03:07:49 | 000,005,632 | ---- | C] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5032.dll [2011/07/05 03:07:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Real [2011/06/23 18:10:42 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys [2011/06/22 17:46:38 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2011/06/22 17:46:38 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2011/06/22 17:46:38 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2011/06/16 18:11:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth [2003/10/16 04:48:54 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiw.exe [2003/10/16 04:48:54 | 001,708,856 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsi.exe ========== Files - Modified Within 30 Days ========== [2011/07/11 14:12:01 | 000,000,444 | ---- | M] () -- C:\WINDOWS\tasks\PCCT - MAGIX AG.job [2011/07/11 14:09:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011/07/11 13:22:00 | 000,001,206 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2000478354-1614895754-839522115-1004UA.job [2011/07/11 12:06:10 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2011/07/11 11:00:00 | 000,000,430 | ---- | M] () -- C:\WINDOWS\tasks\XoftSpySE 2.job [2011/07/11 09:16:35 | 000,000,268 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2000478354-1614895754-839522115-1004.job [2011/07/11 09:16:29 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011/07/11 09:16:14 | 000,000,560 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwdrv.err [2011/07/11 09:05:37 | 000,579,584 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe [2011/07/11 02:25:22 | 000,013,588 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011/07/11 02:25:22 | 000,013,588 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak [2011/07/10 19:02:34 | 000,000,045 | ---- | M] () -- C:\WINDOWS\popcinfot.dat [2011/07/10 17:22:00 | 000,001,154 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2000478354-1614895754-839522115-1004Core.job [2011/07/10 16:35:49 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\u63sdlfo.exe [2011/07/10 16:21:09 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\User\defogger_reenable [2011/07/10 16:19:36 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Defogger.exe [2011/07/10 13:38:32 | 000,000,327 | RHS- | M] () -- C:\boot.ini [2011/07/10 13:31:55 | 004,138,980 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe [2011/07/10 11:06:53 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Microsoft Office Outlook 2003.lnk [2011/07/09 05:06:38 | 000,000,714 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk [2011/07/09 05:06:38 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk [2011/07/09 05:06:38 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011/07/08 17:18:52 | 000,002,357 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Google Chrome.lnk [2011/07/08 17:18:52 | 000,002,335 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [2011/07/08 15:55:10 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2000478354-1614895754-839522115-1004.job [2011/07/08 15:50:58 | 000,000,036 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache [2011/07/08 12:54:32 | 000,258,560 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\OTH(3).scr [2011/07/08 11:02:01 | 009,435,312 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\User\Desktop\mbam-setup-1.51.0.1200.com [2011/07/08 10:11:01 | 000,059,392 | R--- | M] () -- C:\WINDOWS\System32\streamhlp.dll [2011/07/08 10:10:57 | 000,000,690 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\TrojanHunter Scanner.lnk [2011/07/08 10:10:57 | 000,000,672 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\TrojanHunter.lnk [2011/07/08 10:10:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TrojanHunter [2011/07/08 09:53:56 | 000,015,872 | ---- | M] () -- C:\WINDOWS\System32\drivers\1199536707.sys [2011/07/06 16:16:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FileZilla FTP Client [2011/07/06 14:30:50 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2011/07/06 06:02:42 | 000,002,311 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 6.0 Professional.lnk [2011/07/05 04:49:02 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2011/07/05 03:08:12 | 000,000,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer.lnk [2011/07/05 03:08:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Real [2011/07/05 03:07:58 | 000,198,848 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\rmoc3260.dll [2011/07/05 03:07:49 | 000,006,656 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5016.dll [2011/07/05 03:07:49 | 000,005,632 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5032.dll [2011/07/05 03:07:47 | 000,272,896 | ---- | M] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll [2011/07/04 05:42:33 | 000,247,808 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011/07/01 03:15:23 | 000,000,305 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Goya.ini [2011/07/01 03:15:23 | 000,000,130 | ---- | M] () -- C:\WINDOWS\Goya.INI [2011/06/26 02:45:56 | 000,256,000 | ---- | M] () -- C:\WINDOWS\PEV.exe [2011/06/21 19:22:16 | 000,111,104 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2011/06/18 03:19:08 | 000,002,347 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk [2011/06/17 07:09:12 | 000,000,145 | ---- | M] () -- C:\Dokumente und Einstellungen\User\default.pls [2011/06/16 18:11:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth ========== Files Created - No Company Name ========== [2011/07/11 02:25:23 | 000,013,588 | ---- | C] () -- C:\WINDOWS\System32\wpa.bak [2011/07/11 02:23:32 | 000,013,588 | ---- | C] () -- C:\WINDOWS\System32\wpa.dbl [2011/07/11 02:23:31 | 000,000,560 | ---- | C] () -- C:\WINDOWS\System32\drivers\fwdrv.err [2011/07/10 16:35:49 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\u63sdlfo.exe [2011/07/10 16:27:28 | 000,579,584 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe [2011/07/10 16:21:00 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\User\defogger_reenable [2011/07/10 16:19:36 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Defogger.exe [2011/07/10 13:38:32 | 000,000,210 | ---- | C] () -- C:\Boot.bak [2011/07/10 13:38:30 | 000,262,448 | RHS- | C] () -- C:\cmldr [2011/07/10 13:34:59 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2011/07/10 13:34:59 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2011/07/10 13:34:59 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2011/07/10 13:34:59 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2011/07/10 13:34:59 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2011/07/10 13:15:30 | 000,731,136 | ---- | C] () -- C:\avenger.exe [2011/07/09 05:06:38 | 000,000,714 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk [2011/07/09 05:06:38 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk [2011/07/09 05:06:38 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011/07/08 17:18:52 | 000,002,357 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Google Chrome.lnk [2011/07/08 17:18:52 | 000,002,335 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [2011/07/08 15:50:58 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache [2011/07/08 12:54:32 | 000,258,560 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\OTH(3).scr [2011/07/08 11:08:01 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk [2011/07/08 11:08:01 | 000,001,392 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Recovery-Info.lnk [2011/07/08 11:08:01 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk [2011/07/08 10:10:57 | 000,000,690 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\TrojanHunter Scanner.lnk [2011/07/08 10:10:57 | 000,000,672 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\TrojanHunter.lnk [2011/07/08 10:10:52 | 000,059,392 | R--- | C] () -- C:\WINDOWS\System32\streamhlp.dll [2011/07/08 09:53:56 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\drivers\1199536707.sys [2011/07/05 03:08:32 | 000,000,276 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2000478354-1614895754-839522115-1004.job [2011/07/05 03:08:32 | 000,000,268 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2000478354-1614895754-839522115-1004.job [2011/07/05 03:08:12 | 000,000,817 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer.lnk [2011/05/16 07:49:19 | 000,111,104 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2011/04/28 04:25:34 | 000,012,492 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp DSP Effects.dat [2011/04/28 04:25:28 | 000,018,028 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat [2011/04/28 03:45:23 | 000,003,222 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp m4a Codec.dat [2011/04/28 03:44:30 | 000,003,617 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp m4a Nero AAC Encoder.dat [2011/02/07 05:08:48 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2010/12/22 06:45:04 | 000,000,046 | ---- | C] () -- C:\WINDOWS\PCCT.INI [2010/10/11 02:46:00 | 000,000,045 | ---- | C] () -- C:\WINDOWS\popcinfot.dat [2010/09/23 16:54:39 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\nnr.dll [2010/08/16 05:09:03 | 000,000,088 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.SimImages [2010/08/03 15:21:15 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\SI.bin [2010/07/06 07:18:55 | 000,020,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T09F8 [2010/07/06 05:19:39 | 000,020,531 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\M33KI [2010/04/28 14:45:05 | 000,009,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Ulli\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010/01/03 07:20:39 | 000,000,029 | ---- | C] () -- C:\WINDOWS\AlphaPlayer.INI [2009/11/10 06:40:30 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV61.sys [2009/11/03 06:27:59 | 000,000,043 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2009/10/25 11:44:20 | 000,001,375 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat [2009/10/25 10:40:52 | 000,003,396 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Windows Media Audio 10 Codec.dat [2009/10/19 17:23:50 | 000,000,030 | ---- | C] () -- C:\Programme\Exiferupdate.ini [2009/09/12 05:46:44 | 000,032,368 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2009/08/26 11:12:35 | 000,025,752 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2008/10/07 04:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008/10/07 04:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2008/09/29 18:03:34 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\daspi32u.dll [2008/09/29 18:03:34 | 000,000,234 | ---- | C] () -- C:\WINDOWS\Scanner.ini [2008/07/31 13:24:28 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Goya.ini [2008/07/31 13:24:22 | 000,000,130 | ---- | C] () -- C:\WINDOWS\Goya.INI [2008/06/30 14:47:22 | 000,076,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV82.sys [2008/06/30 13:19:16 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2008/06/30 13:18:32 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2008/04/01 18:04:28 | 000,038,503 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR [2008/01/20 15:25:16 | 000,561,152 | R--- | C] () -- C:\WINDOWS\System32\hpotscl.dll [2008/01/20 14:30:41 | 000,003,307 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Windows Media Audio 9 Codec.dat [2008/01/19 11:24:33 | 000,000,145 | ---- | C] () -- C:\Dokumente und Einstellungen\User\default.pls [2008/01/19 11:17:50 | 003,835,624 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2008/01/18 14:50:53 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\FileOps.exe [2008/01/11 16:59:37 | 000,040,960 | R--- | C] () -- C:\WINDOWS\System32\psfind.dll [2008/01/07 19:35:18 | 000,001,142 | ---- | C] () -- C:\WINDOWS\mozver.dat [2008/01/06 13:56:52 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008/01/06 13:43:43 | 000,001,024 | ---- | C] () -- C:\Dokumente und Einstellungen\User\.rnd [2008/01/06 11:28:19 | 000,000,025 | ---- | C] () -- C:\WINDOWS\WinOnCD.ini [2008/01/05 14:02:50 | 000,247,808 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008/01/05 13:56:49 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008/01/05 13:43:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2008/01/05 10:57:15 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2008/01/05 10:57:15 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2008/01/05 10:57:15 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2008/01/05 10:57:15 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2008/01/05 10:57:15 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2008/01/05 10:57:15 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2008/01/05 10:57:14 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008/01/05 10:57:14 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2008/01/05 10:57:14 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2008/01/05 10:53:17 | 000,000,558 | ---- | C] () -- C:\WINDOWS\DFC.INI [2008/01/05 08:44:09 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2008/01/05 08:23:45 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008/01/05 08:08:11 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2008/01/05 08:02:06 | 000,023,504 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2008/01/05 07:50:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008/01/05 07:48:53 | 000,325,704 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2007/12/15 09:55:30 | 002,510,848 | --S- | C] () -- C:\WINDOWS\System32\tlpsplib10.dll [2005/11/11 06:43:28 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\libssl32.dll [2005/11/11 06:43:24 | 000,887,296 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll [2005/08/31 04:20:00 | 000,233,557 | ---- | C] () -- C:\WINDOWS\System32\esint54.dll [2005/07/15 07:32:44 | 000,327,680 | ---- | C] () -- C:\WINDOWS\System32\sdkdll ProDice.Dll [2005/03/04 09:21:20 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF3600U.dll [2005/01/05 08:55:12 | 000,229,376 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF1800AFL.dll [2004/12/13 09:39:00 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PS3650.dll [2004/12/10 04:51:00 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\IO_PORT.DLL [2004/12/10 04:51:00 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\FVC.DLL [2004/12/10 04:51:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\SQ1394.DLL [2004/08/04 08:00:00 | 001,868,944 | ---- | C] () -- C:\WINDOWS\System32\RSA32_16.DLL [2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004/08/04 08:00:00 | 000,498,584 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004/08/04 08:00:00 | 000,474,532 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004/08/04 08:00:00 | 000,101,144 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004/08/04 08:00:00 | 000,084,536 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004/08/04 08:00:00 | 000,062,976 | ---- | C] () -- C:\WINDOWS\System32\drivers\cdrom.sys [2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2004/04/15 06:02:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\drivers\fwdrv.sys [2004/02/11 09:42:36 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\SS3600ICE.Dll [2004/02/03 09:34:00 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL LC.dll [2003/11/25 10:41:44 | 001,681,920 | ---- | C] () -- C:\Programme\InstantCopy.msi [2003/11/19 10:30:50 | 000,001,302 | ---- | C] () -- C:\Programme\InstantCopy.ini [2003/10/16 04:49:00 | 000,056,832 | ---- | C] () -- C:\Programme\trans1043.mst [2003/10/16 04:48:58 | 000,055,808 | ---- | C] () -- C:\Programme\Trans1040.mst [2003/10/16 04:48:58 | 000,055,808 | ---- | C] () -- C:\Programme\Trans1031.mst [2003/10/16 04:48:56 | 000,056,832 | ---- | C] () -- C:\Programme\trans1036.mst [2003/10/16 04:48:54 | 000,055,296 | ---- | C] () -- C:\Programme\Trans1034.mst [2003/10/16 04:48:52 | 000,050,176 | ---- | C] () -- C:\Programme\InstantCopy.exe [2003/10/16 04:42:22 | 005,999,354 | ---- | C] () -- C:\Programme\InstantCopy2.cab [2003/10/16 04:42:06 | 010,337,745 | ---- | C] () -- C:\Programme\InstantCopy1.cab [2003/09/25 09:14:04 | 000,062,464 | ---- | C] () -- C:\Programme\trans1042.mst [2003/09/25 09:13:42 | 000,051,200 | ---- | C] () -- C:\Programme\trans1028.mst [2003/09/25 09:13:22 | 000,051,200 | ---- | C] () -- C:\Programme\trans2052.mst [2003/09/19 10:02:26 | 000,406,016 | ---- | C] () -- C:\WINDOWS\System32\PSDrvCheck.exe [2003/07/30 05:48:28 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2003/07/30 04:49:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2003/07/21 13:09:38 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\sdkdll PowSlide.dll [2003/07/21 13:09:38 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\PowSlide.dll [2003/05/08 07:43:12 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF2700.dll [2003/05/08 07:43:00 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL PF1800U.dll [2003/05/06 13:29:00 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL Pf3600Pro.dll [2003/02/20 12:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2002/05/03 11:27:58 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL RFS3600.dll [2002/05/03 11:27:58 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\SDKDLL 36SU.Dll [2001/03/30 16:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll [1999/03/25 03:48:50 | 000,010,624 | ---- | C] () -- C:\WINDOWS\System32\GENEUSB.SYS [1999/03/25 03:48:50 | 000,010,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\GENEUSB.SYS [1996/10/10 20:01:20 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\Cbndll.dll ========== LOP Check ========== [2009/03/26 15:20:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus [2009/12/26 08:09:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BioWare [2009/11/10 06:53:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2008/02/02 09:29:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes [2010/05/17 07:04:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2010/05/22 11:28:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HTC [2010/12/22 06:29:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2009/10/25 11:56:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster [2010/02/12 14:31:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games [2011/05/16 03:12:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution [2010/04/11 05:27:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seagate [2009/11/15 18:32:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\System Restore [2010/05/22 11:28:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca [2011/07/11 08:51:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2011/05/10 06:01:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2011/07/08 10:11:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrojanHunter [2010/02/23 08:25:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip [2010/04/15 17:53:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2009/11/03 05:59:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2010/10/27 02:37:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{DC681653-9E71-4C6E-BBB1-FBE8F830B07C} [2011/07/11 14:12:01 | 000,000,444 | ---- | M] () -- C:\WINDOWS\Tasks\PCCT - MAGIX AG.job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 48 bytes -> C:\WINDOWS:4A357E90C6A0C006 @Alternate Data Stream - 150 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B3D74A13 < End of report > |
11.07.2011, 22:17 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, der alle Virenscans killtZitat:
Warum erwähnst du kein Wort davon und postest auch nicht das Log?!
__________________ Logfiles bitte immer in CODE-Tags posten |
11.07.2011, 22:33 | #9 |
| Virus, der alle Virenscans killt Ähem... ich hatte es gestern versucht, nachdem ich einige Posts gelesen hatte - bevor ich meinen eröffnete...sorry... Schlimm? Habe ich dadurch etwa etwas kaputt gemacht? |
11.07.2011, 22:34 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, der alle Virenscans killt Ja, hast du die fetten Warnhinweise überlesen oder ignoriert? Wo ist denn nun das Log von CF?
__________________ Logfiles bitte immer in CODE-Tags posten |
11.07.2011, 22:54 | #11 |
| Virus, der alle Virenscans killt Ich hatte Combofix scannen lassen. Ca. 5 Minuten rödelte das Programm auf den Festplatten, dann wurde es plötzlich still. Nichts tat sich, kein Geräusch. Ich wartete noch ca. 10 Minuten, dann brach ich ab. Zu früh? Somit habe ich leider kein logfile. |
11.07.2011, 23:04 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, der alle Virenscans killt Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2011/07/03 12:08:05 | 000,000,000 | ---D | M] - D:\Autos -- [ NTFS ] O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010/11/05 03:47:47 | 000,000,000 | ---- | M] () - L:\autorun.inf -- [ NTFS ] [2011/07/10 13:34:40 | 000,000,000 | ---D | C] -- C:\Qoobox [2011/07/11 09:16:14 | 000,000,560 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwdrv.err [2011/07/08 09:53:56 | 000,015,872 | ---- | M] () -- C:\WINDOWS\System32\drivers\1199536707.sys [2011/07/01 03:15:23 | 000,000,305 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Goya.ini [2011/07/01 03:15:23 | 000,000,130 | ---- | M] () -- C:\WINDOWS\Goya.INI @Alternate Data Stream - 48 bytes -> C:\WINDOWS:4A357E90C6A0C006 @Alternate Data Stream - 150 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B3D74A13 :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
11.07.2011, 23:47 | #13 |
| Virus, der alle Virenscans killt Hallo Arne, das Fixen scheint geklappt zu haben. Hier ist der Logfile: ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! File D:\autorun.inf not found. File not found. File F:\autorun.inf not found. File L:\autorun.inf not found. C:\Qoobox\TestC folder moved successfully. C:\Qoobox\Test folder moved successfully. C:\Qoobox\Quarantine\Registry_backups folder moved successfully. C:\Qoobox\Quarantine\H folder moved successfully. C:\Qoobox\Quarantine folder moved successfully. C:\Qoobox\LastRun folder moved successfully. C:\Qoobox\BackEnv folder moved successfully. C:\Qoobox folder moved successfully. C:\WINDOWS\system32\drivers\fwdrv.err moved successfully. C:\WINDOWS\system32\drivers\1199536707.sys moved successfully. C:\Dokumente und Einstellungen\User\Goya.ini moved successfully. C:\WINDOWS\Goya.INI moved successfully. ADS C:\WINDOWS:4A357E90C6A0C006 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B3D74A13 deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.47.1 log created on 07132011_023421 Was allerdings nicht geklappt hat, ist den Ordner movedfiles zu zippen. Hier kommt die Meldung: Konnte...\...\drivers\1199536707.sys nicht öffnen. Zugriff verweigert. Das scheint also die Sau zu sein... wie vermutet. Zwischendurch muss ich einfach mal sagen... für die Mühe, die du dir machst, und deine prompten Antworten. |
11.07.2011, 23:48 | #14 |
| Virus, der alle Virenscans killt PS: Da es mit dem Zippen nicht geklappt habe, habe ich die Files auch nicht hochgeladen. |
11.07.2011, 23:55 | #15 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, der alle Virenscans killtZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Virus, der alle Virenscans killt |
100ksearches, abbruch, aufsetzen, autostart, avira, beschädigung, browser, datei, desktop, ergebnis, fehlermeldung, firefox, forum, gmer, icon, killt, links, log-datei, malwarebytes, neu aufsetzen, nicht möglich, online-virenscanner, port, programm, redirect, required, scan, sekunden, temp, udp, virus |