Trojaner in userinit.exe?

fhkiwi · 15.06.2011, 21:02

Hallo,
meine online-banking Zugänge wurden wg. Verdacht auf Trojaner gesperrt Hab dann mal den Avira Virenscanner laufen lassen. Der hat auch was gefunden und beseitigt. Dann ist mir ein Prozeß aufgefallen "userqwhlp.exe" und ich hab den "Trojan remover" laufen lassen.
Ergebnis: Problem mit der Datei "userinit.exe".
Hab dann gegoogelt und bin hier hier in diesem Forum gelandet.

Vor dem online-banking Problem hatte ich noch ständige Mozilla Firefox Abstürze, eines meiner Benutzerkonten in Windows funktionierte nicht mehr und meine externe 3,5" Festplatte hat den Geist aufgegeben.

Ich hab hier mal die von Euch gewünschten log-files (defogger, OTL, Gmer), vielleicht kann mir jemand helfen, ob ich einen Trojaner in der userinit.exe habe und wie ich ihn wieder los werde (möglichst endgültig). Mein Betriebssystem ist Win XP SP3, 32 bit.
Ich bedanke mich schon mal vorab ganz herzlich bei jedem der sich die Mühe macht mein Problem zu lesen und sich da einzudenken!!! Bei Fragen einfach was schreiben, ich antworte dann nach bestem Wissen (bin 44 und "nur" ein dummer Enduser).

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:46 on 14/06/2011 (Frank)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

*********************************************************
OTL logfile created on: 14.06.2011 23:54:16 - Run 1
OTL by OldTimer - Version 3.2.24.0 Folder = C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,37 Gb Total Physical Memory | 2,99 Gb Available Physical Memory | 88,75% Memory free
5,21 Gb Paging File | 4,92 Gb Available in Paging File | 94,47% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 195,95 Gb Free Space | 42,07% Space Free | Partition Type: NTFS

Computer Name: KIWI-947BA2A68B | User Name: Frank | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.06.14 23:51:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.04.27 22:06:49 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.04 14:36:11 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.03.04 14:36:11 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.12.23 23:34:20 | 000,370,688 | ---- | M] (StarWind Software) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

========== Modules (SafeList) ==========

MOD - [2011.06.14 23:51:48 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Downloads\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll

========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2011.04.27 22:06:49 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.04.24 20:03:48 | 000,361,216 | ---- | M] (TuneUp Software) [On_Demand | Stopped] -- C:\WINDOWS\system32\TuneUpDefragService.exe -- (TuneUp.Defrag)
SRV - [2011.03.04 14:36:11 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.02.18 17:30:32 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2009.12.23 23:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto | Running] -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - [2009.04.27 14:21:36 | 000,028,928 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)

========== Driver Services (SafeList) ==========

DRV - [2011.06.05 20:53:47 | 000,697,328 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2011.03.04 16:11:12 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.03.04 14:36:34 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 14:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 14:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2010.05.20 15:26:48 | 000,040,560 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\hotcore3.sys -- (hotcore3)
DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2010.01.28 16:25:05 | 000,058,600 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2009.11.12 13:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.05.08 05:22:28 | 001,358,720 | R--- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV - [2008.08.18 12:54:24 | 000,145,952 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvgts.sys -- (nvgts)
DRV - [2008.03.25 05:48:08 | 000,022,016 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2008.03.25 05:48:06 | 000,054,400 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2008.02.14 08:12:00 | 001,389,056 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\monfilt.sys -- (monfilt)
DRV - [2007.03.16 10:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2006.01.25 16:14:06 | 000,472,644 | ---- | M] (Hauppauge Computer Works) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HCWBT8XX.sys -- (HCWBT8xx)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 60 1A 46 14 C0 29 CC 01 [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.gmx.net/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.8

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.13 14:03:51 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.13 14:03:51 | 000,000,000 | ---D | M]

[2011.06.13 14:03:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Extensions
[2011.06.14 23:43:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jhrpazcs.default\extensions
[2011.06.13 14:04:13 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jhrpazcs.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.04.07 22:44:23 | 000,001,595 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jhrpazcs.default\searchplugins\ixquick---deutsch.xml
[2011.06.13 14:03:51 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.05.09 23:24:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.04.21 01:20:52 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.04.21 01:20:52 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.04.21 01:20:52 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.04.21 01:20:52 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.04.21 01:20:52 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

Hosts file not found
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe (Simply Super Software)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 [2010.08.10 06:19:27 | 000,000,000 | ---D | M]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1 [2010.08.10 06:19:27 | 000,000,000 | ---D | M]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1 [2010.08.10 06:19:27 | 000,000,000 | ---D | M]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\USERINIT.EXE ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.07 12:25:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{a5f49541-74de-11e0-8525-0025229460f5}\Shell - "" = AutoRun
O33 - MountPoints2\{a5f49541-74de-11e0-8525-0025229460f5}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a5f49541-74de-11e0-8525-0025229460f5}\Shell\AutoRun\command - "" = E:\dvdcheck.exe
O33 - MountPoints2\{a5f49541-74de-11e0-8525-0025229460f5}\Shell\directx\command - "" = DirectX9\dxsetup.exe
O33 - MountPoints2\{a5f49541-74de-11e0-8525-0025229460f5}\Shell\setup\command - "" = E:\setup.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - DOTNETFRAMEWORKS
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

NetSvcs: 6to4 - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
NetSvcs: WmdmPmSp - File not found

========== Files/Folders - Created Within 30 Days ==========

[2011.06.15 00:43:19 | 000,000,000 | ---D | C] -- C:\WINDOWS.1
[2011.06.15 00:37:13 | 000,000,000 | ---D | C] -- C:\WINDOWS.0
[2011.06.14 23:03:53 | 000,000,000 | ---D | C] -- C:\Programme\Online Services
[2011.06.14 23:03:46 | 000,000,000 | ---D | C] -- C:\Programme\Messenger
[2011.06.14 22:07:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.06.14 21:59:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Simply Super Software
[2011.06.14 21:59:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Trojan Remover
[2011.06.14 21:59:15 | 000,000,000 | ---D | C] -- C:\Programme\Trojan Remover
[2011.06.14 21:59:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Simply Super Software
[2011.06.14 21:59:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
[2011.06.13 14:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox
[2011.06.13 14:03:50 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2011.06.13 13:47:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VTPlus für WinTV
[2011.06.13 13:47:33 | 000,000,000 | ---D | C] -- C:\Programme\vtplus
[2011.06.13 13:47:29 | 000,069,696 | ---- | C] (Hauppauge Computer Works, Inc) -- C:\WINDOWS\System32\CHSUITE.OCX
[2011.06.13 13:47:28 | 000,053,248 | ---- | C] (Hauppauge) -- C:\WINDOWS\System32\MDCustomPanels.ocx
[2011.06.13 13:47:19 | 000,524,353 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\HCWTVWND.dll
[2011.06.13 13:47:19 | 000,077,824 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwsplit.ax
[2011.06.13 13:47:19 | 000,069,632 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwfread.ax
[2011.06.13 13:47:19 | 000,069,632 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwsched.dll
[2011.06.13 13:47:19 | 000,011,264 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwhook.dll
[2011.06.13 13:47:19 | 000,000,000 | ---D | C] -- C:\MyVideos
[2011.06.13 13:47:14 | 000,106,559 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Hcwtvdlg.dll
[2011.06.13 13:47:14 | 000,090,174 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\bt848wst.dll
[2011.06.13 13:47:14 | 000,077,824 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwTVDlg.deu
[2011.06.13 13:47:14 | 000,073,728 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\Hcwsnap.ax
[2011.06.13 13:47:14 | 000,065,536 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwDlg.deu
[2011.06.13 13:47:14 | 000,061,440 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwChan.deu
[2011.06.13 13:47:09 | 000,393,216 | ---- | C] (Snowbound Software Corporation (www.Snowbnd.com)) -- C:\WINDOWS\System32\hcwsnbd9.dll
[2011.06.13 13:47:09 | 000,229,432 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwpnp32.dll
[2011.06.13 13:47:09 | 000,213,050 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Hcwchan.dll
[2011.06.13 13:47:09 | 000,131,072 | ---- | C] (Hauppauge Computer Works Inc) -- C:\WINDOWS\System32\hcwsched.ocx
[2011.06.13 13:47:09 | 000,094,264 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwi2c32.dll
[2011.06.13 13:47:09 | 000,065,536 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwdlg.ocx
[2011.06.13 13:47:09 | 000,045,056 | ---- | C] (DScaler Project, see hxxp://www.dscaler.org/) -- C:\WINDOWS\System32\Hcwdlace.ax
[2011.06.13 13:47:09 | 000,012,288 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\btgpio32.dll
[2011.06.13 13:47:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Hauppauge WinTV
[2011.06.12 14:39:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump
[2011.06.09 05:21:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Temp
[2011.06.09 05:21:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2011.06.08 23:47:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\Adobe
[2011.06.08 23:43:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
[2011.06.08 23:23:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\gtk-2.0
[2011.06.08 23:22:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\avidemux
[2011.06.08 23:22:23 | 000,000,000 | ---D | C] -- C:\Programme\Avidemux 2.4
[2011.06.08 23:05:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\GetRightToGo
[2011.06.07 22:24:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Sceneo Vcopy Pro
[2011.06.05 21:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Alcohol 120%
[2011.06.05 21:03:48 | 000,000,000 | ---D | C] -- C:\Programme\Alcohol Soft
[2011.06.05 17:58:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\createpart
[2011.06.05 17:57:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\explauncher
[2011.06.05 17:57:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\launcher
[2011.06.05 14:34:15 | 000,040,560 | ---- | C] (Paragon Software Group) -- C:\WINDOWS\System32\drivers\hotcore3.sys
[2011.06.05 14:34:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE
[2011.06.05 14:34:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Startmenü\Programme\Paragon Partition Manager™ 11 Professional
[2011.06.05 14:33:48 | 000,000,000 | ---D | C] -- C:\Programme\Paragon Software
[2011.06.02 17:21:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2011.06.02 17:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.06.02 01:40:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2011.06.02 01:40:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2011.06.02 01:35:51 | 000,000,000 | ---D | C] -- C:\Programme\Smartcutter
[2011.05.31 21:14:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2011.05.30 21:40:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sceneo
[2011.05.30 21:40:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\log
[2011.05.30 21:40:54 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Buhl Data Service
[2011.05.30 21:40:53 | 002,260,992 | ---- | C] (nanocosmos) -- C:\WINDOWS\System32\m2v_enc.dll
[2011.05.30 21:40:53 | 001,662,976 | ---- | C] (nanocosmos informationstechnologien gmbh) -- C:\WINDOWS\System32\mpa.dll
[2011.05.30 21:40:53 | 000,950,272 | ---- | C] (GNU LGPL) -- C:\WINDOWS\System32\nsdl.dll
[2011.05.30 21:40:53 | 000,588,288 | ---- | C] (nanocosmos IT GmbH) -- C:\WINDOWS\System32\nanoBurn.dll
[2011.05.30 21:40:53 | 000,122,880 | ---- | C] (nanocosmos) -- C:\WINDOWS\System32\nanoLicence.dll
[2011.05.30 21:40:51 | 001,531,904 | ---- | C] (nanocosmos) -- C:\WINDOWS\System32\ndvb2dvd.dll
[2011.05.30 21:40:51 | 000,385,024 | ---- | C] (nano) -- C:\WINDOWS\System32\quickedit.dll
[2011.05.30 21:40:51 | 000,352,256 | ---- | C] (nanocosmos) -- C:\WINDOWS\System32\mpdx.dll
[2011.05.30 21:40:50 | 000,000,000 | ---D | C] -- C:\Programme\Sceneo
[2011.05.28 02:25:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Usenet.nl
[2011.05.28 02:25:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Usenet.nl
[2011.05.28 02:25:20 | 000,000,000 | ---D | C] -- C:\Programme\Usenet.nl
[2011.05.28 02:25:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Usenet.nl
[2011.05.28 01:42:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Startmenü\Programme\Technisat
[2011.05.28 01:42:22 | 000,000,000 | ---D | C] -- C:\Programme\Technisat
[2011.05.22 16:45:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
[2011.05.22 16:45:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Haenlein-Software
[2011.05.22 16:45:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Haenlein-Software
[2011.05.22 16:44:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVR-Studio HD 2
[2011.05.22 16:44:36 | 000,000,000 | ---D | C] -- C:\Programme\DVR-Studio HD 2
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.06.14 23:48:43 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2011.06.14 23:47:30 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.06.14 23:46:20 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\defogger_reenable
[2011.06.14 23:01:52 | 000,000,437 | -HS- | M] () -- C:\boot.ini
[2011.06.14 22:01:48 | 000,108,776 | ---- | M] () -- C:\WINDOWS\System32\USERINIT.EXE
[2011.06.14 21:59:18 | 000,000,805 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Trojan Remover.lnk
[2011.06.14 20:43:28 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.06.13 21:41:03 | 000,002,277 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DVR-Studio HD 2.lnk
[2011.06.13 14:03:52 | 000,001,585 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.06.13 13:47:34 | 000,000,349 | ---- | M] () -- C:\WINDOWS\vtplus32.ini
[2011.06.13 13:47:24 | 000,003,074 | ---- | M] () -- C:\WINDOWS\HCWPNP.INI
[2011.06.13 13:47:10 | 000,000,641 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WinTV2000.lnk
[2011.06.13 13:43:38 | 000,119,744 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.06.12 14:36:36 | 000,000,124 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\ax_files.xml
[2011.06.10 21:26:59 | 000,004,608 | ---- | M] () -- C:\source.grf
[2011.06.10 21:22:35 | 000,006,144 | ---- | M] () -- C:\Grab.grf
[2011.06.10 19:13:58 | 000,025,713 | ---- | M] () -- C:\WINDOWS\CSTBox.INI
[2011.06.10 09:25:09 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.06.09 00:01:37 | 002,803,876 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SR_20rIII_A4.pdf
[2011.06.08 23:59:58 | 003,100,642 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\sr_20j_A4.pdf
[2011.06.08 23:51:44 | 001,368,801 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SB-20CE_prospekt-2.pdf
[2011.06.08 23:51:18 | 001,368,799 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SB-20CE_prospekt-1.pdf
[2011.06.08 23:50:56 | 002,248,965 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SR_10j_A4-1.pdf
[2011.06.08 23:50:47 | 002,248,959 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SR_10j_A4.pdf
[2011.06.08 23:44:28 | 000,001,733 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2011.06.08 23:22:28 | 000,000,728 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Avidemux 2.4 GTK+.lnk
[2011.06.08 21:47:45 | 000,453,959 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Arbeitsvertrag.pdf
[2011.06.07 22:23:27 | 000,018,432 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.06.07 22:12:47 | 000,000,840 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HD ADeck.lnk
[2011.06.05 21:07:40 | 000,001,166 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\lmhosts.sam
[2011.06.05 21:03:52 | 000,000,824 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alcohol 120%.lnk
[2011.06.05 17:48:23 | 000,000,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Mediaport.conf
[2011.06.05 14:34:14 | 000,002,239 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Paragon Partition Manager™ 11 Professional.lnk
[2011.06.01 08:32:34 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2011.05.30 23:44:59 | 000,146,886 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Veränderungsmitteilung.pdf
[2011.05.30 21:40:57 | 000,000,838 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Vcopy.lnk
[2011.05.28 02:25:20 | 000,001,535 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Usenet.nl.lnk
[2011.05.28 01:42:28 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Mediaport.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.06.14 23:46:14 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\defogger_reenable
[2011.06.14 23:22:09 | 000,108,776 | ---- | C] () -- C:\WINDOWS\System32\USERINIT.EXE
[2011.06.14 21:59:18 | 000,000,805 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Trojan Remover.lnk
[2011.06.14 21:59:16 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\ztvunrar36.dll
[2011.06.14 21:59:16 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\UNRAR3.dll
[2011.06.14 21:59:16 | 000,077,312 | ---- | C] () -- C:\WINDOWS\System32\ztvunace26.dll
[2011.06.14 21:59:16 | 000,075,264 | ---- | C] () -- C:\WINDOWS\System32\unacev2.dll
[2011.06.13 14:03:52 | 000,001,585 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.06.13 13:47:34 | 000,000,349 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2011.06.13 13:47:14 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\hcwChMgr.deu
[2011.06.13 13:47:10 | 000,000,641 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WinTV2000.lnk
[2011.06.13 13:47:09 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2011.06.13 13:46:22 | 000,003,074 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2011.06.09 00:01:37 | 002,803,876 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SR_20rIII_A4.pdf
[2011.06.08 23:59:57 | 003,100,642 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\sr_20j_A4.pdf
[2011.06.08 23:51:37 | 001,368,801 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SB-20CE_prospekt-2.pdf
[2011.06.08 23:51:18 | 001,368,799 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SB-20CE_prospekt-1.pdf
[2011.06.08 23:50:56 | 002,248,965 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SR_10j_A4-1.pdf
[2011.06.08 23:50:46 | 002,248,959 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\SR_10j_A4.pdf
[2011.06.08 23:44:28 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader X.lnk
[2011.06.08 23:44:28 | 000,001,733 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2011.06.08 23:22:27 | 000,000,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Avidemux 2.4 GTK+.lnk
[2011.06.08 21:47:45 | 000,453,959 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Arbeitsvertrag.pdf
[2011.06.05 21:06:50 | 000,000,124 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\ax_files.xml
[2011.06.05 21:03:52 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alcohol 120%.lnk
[2011.06.05 14:34:14 | 000,002,239 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Paragon Partition Manager™ 11 Professional.lnk
[2011.05.31 20:44:28 | 000,006,144 | ---- | C] () -- C:\Grab.grf
[2011.05.31 20:44:28 | 000,004,608 | ---- | C] () -- C:\source.grf
[2011.05.30 23:44:58 | 000,146,886 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Veränderungsmitteilung.pdf
[2011.05.30 21:40:57 | 000,000,838 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Vcopy.lnk
[2011.05.30 21:40:53 | 000,172,123 | ---- | C] () -- C:\WINDOWS\System32\nanoBurnVCD.dll
[2011.05.30 21:40:52 | 001,097,728 | ---- | C] () -- C:\WINDOWS\System32\nffilt.ax
[2011.05.30 21:40:52 | 000,348,250 | ---- | C] () -- C:\WINDOWS\System32\nmpl.dll
[2011.05.28 02:25:20 | 000,001,535 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Usenet.nl.lnk
[2011.05.28 01:43:38 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Mediaport.conf
[2011.05.28 01:42:28 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Desktop\Mediaport.lnk
[2011.05.22 16:44:39 | 000,002,277 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DVR-Studio HD 2.lnk
[2011.05.05 23:06:20 | 000,000,354 | ---- | C] () -- C:\WINDOWS\boxworld.ini
[2011.04.18 15:15:16 | 000,175,616 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2011.04.17 16:39:49 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.13 15:39:55 | 000,025,713 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2011.04.08 17:51:33 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2011.04.07 23:34:10 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS66.DLL
[2011.04.07 22:04:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.04.07 16:47:06 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011.04.07 16:32:30 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.04.07 15:37:53 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2011.04.07 15:37:49 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\adistres.dll
[2011.04.07 15:21:53 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011.04.07 14:15:39 | 000,003,948 | R--- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2011.04.07 13:11:39 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.04.07 13:10:39 | 000,119,744 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.07 12:27:04 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.04.07 12:23:09 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.03.29 08:30:53 | 002,183,470 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2010.03.29 08:30:53 | 000,007,764 | ---- | C] () -- C:\WINDOWS\cadx2.ini
[2004.11.11 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.11.11 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.11.11 14:00:00 | 000,515,730 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.11.11 14:00:00 | 000,492,614 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.11.11 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.11.11 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.11.11 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.11.11 14:00:00 | 000,100,120 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.11.11 14:00:00 | 000,083,262 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.11.11 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.11.11 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.11.11 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.11.11 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.11.11 14:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.11.11 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.11.11 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2002.03.21 12:51:52 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll
[2002.03.21 12:51:52 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll
[2002.03.21 12:51:52 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll
[2002.03.21 12:51:52 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll
[2002.03.21 12:51:52 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll
[2002.03.21 12:51:52 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll
[2002.03.21 12:51:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll

========== LOP Check ==========

[2011.04.08 18:35:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2011.04.17 10:36:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011.06.05 17:58:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\createpart
[2011.06.05 17:57:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\explauncher
[2011.06.05 17:57:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\launcher
[2011.06.14 21:59:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
[2011.06.14 23:42:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.04.24 20:02:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2011.04.09 11:19:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\ACD Systems
[2011.06.08 23:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\avidemux
[2011.04.17 10:36:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Canneverbe Limited
[2011.06.10 19:12:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Canon
[2011.06.08 23:22:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\GetRightToGo
[2011.06.10 23:36:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\gtk-2.0
[2011.05.22 16:45:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Haenlein-Software
[2011.04.09 12:19:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\InterTrust
[2011.06.14 21:59:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Simply Super Software
[2011.04.24 20:02:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\TuneUp Software
[2011.06.10 00:30:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Usenet.nl

========== Purity Check ==========

========== Custom Scans ==========

< %SYSTEMDRIVE%\*. >
[2011.05.23 20:45:47 | 000,000,000 | -H-D | M] -- C:\BJPrinter
[2011.04.09 11:35:38 | 000,000,000 | -H-D | M] -- C:\CanoScan
[2011.06.14 23:10:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.06.13 13:47:19 | 000,000,000 | ---D | M] -- C:\MyVideos
[2011.04.08 17:10:16 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2011.06.14 23:06:31 | 000,000,000 | R--D | M] -- C:\Programme
[2011.06.14 23:18:40 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.05.06 11:53:45 | 000,000,000 | ---D | M] -- C:\Spiele
[2011.06.14 23:10:44 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.06.14 22:22:39 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2011.06.15 00:41:10 | 000,000,000 | ---D | M] -- C:\WINDOWS.0
[2011.06.14 23:10:59 | 000,000,000 | ---D | M] -- C:\WINDOWS.1

< %PROGRAMFILES%\*.exe >

Invalid Environment Variable: LOCALAPPDATA

< %systemroot%\*. /mp /s >

< MD5 for: EXPLORER.EXE >
[2004.11.11 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS.0\explorer.exe
[2004.11.11 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS.1\explorer.exe
[2004.11.11 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS.1\system32\dllcache\explorer.exe
[2004.11.11 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

< MD5 for: REGEDIT.EXE >
[2004.11.11 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS.0\regedit.exe
[2004.11.11 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS.1\regedit.exe
[2004.11.11 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS.1\system32\dllcache\regedit.exe
[2004.11.11 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
[2008.04.14 07:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 07:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe

< MD5 for: USERINIT.EXE >
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2011.06.14 22:01:48 | 000,108,776 | ---- | M] () MD5=8C3BD640D8FB9DFD3DB592D65AFBA988 -- C:\WINDOWS\system32\USERINIT.EXE
[2004.11.11 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS.0\system32\userinit.exe
[2004.11.11 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS.1\system32\dllcache\userinit.exe
[2004.11.11 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS.1\system32\userinit.exe
[2004.11.11 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

< MD5 for: WINLOGON.EXE >
[2004.11.11 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS.0\system32\winlogon.exe
[2004.11.11 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS.1\system32\dllcache\winlogon.exe
[2004.11.11 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS.1\system32\winlogon.exe
[2004.11.11 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-05-11 18:33:01

========== Alternate Data Streams ==========

@Alternate Data Stream - 102 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CB0AACC9

< End of report >

*********************************************************

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-15 07:33:21
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0 ST350041 rev.JC45
Running: sywdqfvi.exe; Driver: C:\DOKUME~1\Frank\LOKALE~1\Temp\kwqcqkod.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwConnectPort [0xA54A9534]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0xA54A3782]
SSDT A4E4B32E ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreatePort [0xA54A9CC0]
SSDT A4E4B324 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xA54A9DF6]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xA54A4398]
SSDT A4E4B333 ZwDeleteKey
SSDT A4E4B33D ZwDeleteValueKey
SSDT A4E4B342 ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xA54C4B44]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0xA54A3FAA]
SSDT A4E4B310 ZwOpenProcess
SSDT A4E4B315 ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0xA54C58D2]
SSDT A4E4B34C ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xA54A90F4]
SSDT A4E4B347 ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xA54A475C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xA54C5E12]
SSDT A4E4B338 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB576D380, 0x566465, 0xE8000020]
init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xA61BB280]

---- Devices - GMER 1.0.15 ----

Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x9F 0x78 0x2B 0x74 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x71 0x74 0x7F 0x8B ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x53 0xD6 0xAF 0xC8 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x9F 0x78 0x2B 0x74 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x71 0x74 0x7F 0x8B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x53 0xD6 0xAF 0xC8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x9F 0x78 0x2B 0x74 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x71 0x74 0x7F 0x8B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x53 0xD6 0xAF 0xC8 ...

---- EOF - GMER 1.0.15 ----

markusg · 16.06.2011, 09:37

hi,
was hat avira gefunden, öffnen, reports, scan log.
du wirst warscheinlich formatieren müssen, will vorher noch 1 log.
bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

fhkiwi · 16.06.2011, 13:55

Hallo,
hier was combofix gefunden hat und darunter dann was Avira gefunden hat!
Danke schon mal!

PS Bei diesem Programm "Alcohol120" war so ein Keygenerator dabei. Hoffe das ist nicht auch ein Trojaner gewesen.

Man sollte sich halt mit sowas auskennen... Aber jetzt bin ich zumindest mal gewarnt!

Und wenn ihr irgendetwas seht was zu "PCMon" gehört. Diese kleine Spionageprogramm habe ich mal vor Jahren gekauft um meiner untreuen Ex-Frau auf die Schliche zu kommen! ;-)

*********************************************************

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-06-15.04 - Frank 16.06.2011  14:27:56.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3455.3046 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-16 bis 2011-06-16  ))))))))))))))))))))))))))))))
.
.
2011-06-15 20:04 . 2011-04-21 13:37	105472	-c----w-	c:\windows\system32\dllcache\mup.sys
2011-06-14 21:48 . 2011-06-14 21:07	--------	d--h--w-	c:\dokumente und einstellungen\Default User.WINDOWS.1
2011-06-14 21:48 . 2011-06-14 21:06	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS.1
2011-06-14 21:22 . 2008-04-14 05:53	26624	----a-w-	c:\windows\system32\userinit.exe
2011-06-14 21:10 . 2011-06-14 21:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator.KIWI-6B1226A5C9
2011-06-14 21:10 . 2011-06-14 21:10	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT
2011-06-14 21:10 . 2011-06-14 21:10	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT
2011-06-14 21:05 . 2004-11-11 12:00	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2011-06-14 21:03 . 2004-11-11 12:00	888808	----a-w-	c:\programme\MSN\MSNCoreFiles\Install\MSN9Components\Digcore.exe
2011-06-14 21:03 . 2004-11-11 12:00	908504	----a-w-	c:\programme\MSN\MSNCoreFiles\Install\msnsusii.exe
2011-06-14 21:03 . 2004-11-11 12:00	11089384	----a-w-	c:\programme\MSN\MSNCoreFiles\Install\MSN9Components\Msncli.exe
2011-06-14 20:07 . 2011-06-14 21:42	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-06-14 19:59 . 2006-06-19 11:01	69632	----a-w-	c:\windows\system32\ztvcabinet.dll
2011-06-14 19:59 . 2006-05-25 13:52	162304	----a-w-	c:\windows\system32\ztvunrar36.dll
2011-06-14 19:59 . 2005-08-25 23:50	77312	----a-w-	c:\windows\system32\ztvunace26.dll
2011-06-14 19:59 . 2003-02-02 18:06	153088	----a-w-	c:\windows\system32\UNRAR3.dll
2011-06-14 19:59 . 2002-03-05 23:00	75264	----a-w-	c:\windows\system32\unacev2.dll
2011-06-14 19:59 . 2011-06-14 21:31	--------	d-----w-	c:\programme\Trojan Remover
2011-06-14 19:59 . 2011-06-14 19:59	--------	d-----w-	c:\dokumente und einstellungen\Frank\Anwendungsdaten\Simply Super Software
2011-06-14 19:59 . 2011-06-14 19:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2011-06-13 11:46 . 2008-04-13 22:16	10880	-c--a-w-	c:\windows\system32\dllcache\ndisip.sys
2011-06-09 03:21 . 2011-06-09 03:21	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Temp
2011-06-09 03:21 . 2011-06-09 03:21	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-06-08 21:47 . 2011-06-08 21:47	--------	d-----w-	c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-06-08 21:23 . 2011-06-10 21:36	--------	d-----w-	c:\dokumente und einstellungen\Frank\Anwendungsdaten\gtk-2.0
2011-06-08 21:22 . 2011-06-08 21:27	--------	d-----w-	c:\dokumente und einstellungen\Frank\Anwendungsdaten\avidemux
2011-06-08 21:22 . 2011-06-10 19:31	--------	d-----w-	c:\programme\Avidemux 2.4
2011-06-08 21:05 . 2011-06-08 21:22	--------	d-----w-	c:\dokumente und einstellungen\Frank\Anwendungsdaten\GetRightToGo
2011-06-05 21:08 . 2011-06-05 21:09	--------	d-----w-	c:\dokumente und einstellungen\Anja\Anwendungsdaten\vlc
2011-06-05 19:03 . 2011-06-05 19:03	--------	d-----w-	c:\programme\Alcohol Soft
2011-06-05 15:58 . 2011-06-05 15:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\createpart
2011-06-05 15:57 . 2011-06-05 15:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\explauncher
2011-06-05 15:57 . 2011-06-05 15:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\launcher
2011-06-05 12:34 . 2011-06-05 12:34	--------	dc----w-	c:\windows\system32\DRVSTORE
2011-06-05 12:34 . 2010-05-20 13:26	40560	----a-w-	c:\windows\system32\drivers\hotcore3.sys
2011-06-05 12:33 . 2011-06-05 12:35	--------	d-----w-	c:\programme\Paragon Software
2011-06-05 11:58 . 2011-06-05 11:58	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2011-06-03 00:49 . 2011-06-03 00:49	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-06-01 23:35 . 2011-06-12 22:42	--------	d-----w-	c:\programme\Smartcutter
2011-05-31 19:14 . 2011-06-14 19:35	--------	d-----w-	c:\windows\system32\NtmsData
2011-05-28 00:25 . 2011-06-09 22:30	--------	d-----w-	c:\dokumente und einstellungen\Frank\Anwendungsdaten\Usenet.nl
2011-05-28 00:25 . 2011-05-28 00:25	--------	d-----w-	c:\programme\Usenet.nl
2011-05-27 23:42 . 2011-05-27 23:42	--------	d-----w-	c:\programme\Technisat
2011-05-26 15:46 . 2011-05-26 15:48	--------	d-----w-	c:\dokumente und einstellungen\Anja\Anwendungsdaten\Canon
2011-05-22 14:45 . 2011-05-22 14:45	--------	d-----w-	c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2011-05-22 14:45 . 2011-05-22 14:45	--------	d-----w-	c:\dokumente und einstellungen\Frank\Anwendungsdaten\Haenlein-Software
2011-05-22 14:44 . 2011-06-01 23:06	--------	d-----w-	c:\programme\DVR-Studio HD 2
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-10 15:05 . 2011-05-16 15:35	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-05 18:53 . 2011-05-02 17:04	697328	----a-w-	c:\windows\system32\drivers\sptd.sys
2011-05-02 15:31 . 2011-04-07 10:23	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2004-11-11 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-24 18:03 . 2011-04-24 18:03	361216	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2011-04-24 18:02 . 2011-04-24 18:02	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2011-04-21 13:37 . 2004-11-11 12:00	105472	----a-w-	c:\windows\system32\drivers\mup.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2009-03-08 . B60DDDD2D63CE41CB8C487FCFBB6419E . 638816 . . [8.00.6001.18702] . . c:\windows\system32\dllcache\iexplore.exe
[7] 2008-04-14 . 3BFE49B4CDFAC83B0F3C79412895A179 . 93184 . . [6.00.2900.5512] . . c:\windows\ie8\iexplore.exe
[7] 2008-04-14 . 3BFE49B4CDFAC83B0F3C79412895A179 . 93184 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[-] 2004-11-11 . B39A6AF04A431E317C85BF061719E705 . 93184 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-06-01 33624064]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-03-16 13670504]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 1043968]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
2010-07-05 10:49	1167296	----a-w-	c:\programme\Trojan Remover\Trjscan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UxTuneUp"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"ERSvc"=3 (0x3)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"GAINWARD"=c:\programme\EXPERTool\TBPanel.exe /A
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
.
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [05.06.2011 14:34 40560]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.04.2011 16:18 136360]
R3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys [25.01.2006 16:14 472644]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [08.04.2011 17:10 58600]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [08.04.2011 00:10 1358720]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.05.2011 19:04 697328]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jhrpazcs.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gmx.net/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: browser.xul.error_pages.enabled - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-16 14:36
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1409082233-2049760794-839522115-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="f2il02yz+PoZfjShe/bLtuIDuYUBXeXUSWODhqNUumuillSxrfUfT0bxarmfYtLp4zQvX/frLlkGRzjW8wFj1YIjNQTkcipaGHiRsqxfWeML3zNdlQAR2qpUclY4tqG7hrq0toHzSqNvyr03dnd293CDD57I+nETnlnnu4AKgI3ULnXKu/K2ZzeRLfLPDBgAPUy1D3ancm3tlUij0+XCew==XkW7KTUw4/ERXZYHib2UcoL0C2ZB96ivDmVp8Hxoud4WhbS+FPwy3zwTLhtuwow5VXDxMiadgorR9F/GSnOdBg=="
"InitTime"=dword:00009ef5
"LastTime"=dword:00009f00
"Keyindex"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3260)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-16  14:42:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-16 12:42
.
Vor Suchlauf: 7 Verzeichnis(se), 213.866.622.976 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 214.697.455.616 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 7C2E708B473DE6793E2BB80CE9F8DF81

--- --- ---

********************************************************

Avira:

Beginne mit der Suche in 'C:\WINDOWS\system32\userqwhlp.exe'
C:\WINDOWS\system32\userqwhlp.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c027274.qua' verschoben!

********************************************************
[FUND] Enthält Erkennungsmuster des SPR/KeyHook.B-Programmes
C:\System Volume Information\_restore{432F78AD-CC48-4620-8647-BD2315A302FE}\RP77\A0049616.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.bque
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIJKLMN\wueu[1].exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.bque

*****************************************************

C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Downloads\2-alc-2033.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Black.Gen2
--> Alcohol 120% Retail v.2.0.1.2033\Betamaster\Keymaker-BetaMaster_update.rar
[1] Archivtyp: RAR
--> Keymaker-BetaMaster_update\keymaker.exe
[FUND] Ist das Trojanische Pferd TR/Black.Gen2
[FUND] Enthält Erkennungsmuster des SPR/KeyHook.B-Programmes
C:\System Volume Information\_restore{432F78AD-CC48-4620-8647-BD2315A302FE}\RP77\A0048517.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF\wueo[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF\wuet[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
C:\WINDOWS\Temp\setupac.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
********************************************************

fhkiwi · 16.06.2011, 13:58

und hat das ganze auch was mit meiner externen HDD zu tun die plötzlich nicht mehr läuft? Da waren blöderweise alle meine Bilder meiner Kinder etc. drauf.

fhkiwi · 16.06.2011, 14:13

ach so: bei Avira, das waren mehrere einzelen Scans, hab die Funde zusammengefasst. Lt. Protokoll wurden alle Funde in Quarantäne verschoben!
Grüßle
Frank

markusg · 16.06.2011, 15:00

machst du onlinebanking, einkäufe oder sonst was wichtiges mit dem pc, beruflich oder privat?
zu dem ausspieonieren anderer menschen sage ich mal nichts weiter, außer das es strafbar ist.

fhkiwi · 19.06.2011, 11:14

Hallo,
ja, ich hab online banking, ebay, amazon, etc. Alles aber nur privat!
Warum fragst Du das?

markusg · 19.06.2011, 16:08

hi, du hast ein rootkit, rufe die bank an, lasse das onlinebanking sperren, der pc muss dann formatiert und neu aufgesetzt werden.
was heißt deine festplatte läuft nicht.
macht sie komische geräusche, also läuft die mechanik nicht mehr rund oder was ist genau los.

fhkiwi · 20.06.2011, 18:56

Hi Markus,
OK, Rechner wird neu aufgesetzt. Wie groß ist das Risiko, daß ich bei der Datensicherung (v.a. doc, xls, mp3 und jpg Dateien und ein paar wenige exe Dateine) den "Rootkit" mit speichere?
Sind meine USB-Sticks noch sicher die ich benutzt habe?

Online Banking hat meine Bank von sich aus automatisch gesperrt. Keine Ahnung wie die das noch vor mir gemerkt haben...

Meine extere Festplatte, eine 1 TB 3,5" Fuiutsi Siemens Platte fängt sich nicht mehr an zu drehen wenn ich das Netzteil in die Steckdose stecke. Das hat sie immer getan. Auch wenn ich das USB Kabel in den Rechner stecke passiert nichts. Lediglich die Kontrollampe geht an und leuchtet dauerhaft. Geräusche macht die Platte auch keine.
Hab sie jetzt schon aus dem Gehäuse ausgebaut. Ist ne ganz normale HDD mit SATA Anschluß in dem ledigleich ein SATA auf USB-Adapter steckt. Will mir jetzt ein neues SATA-Kabel kaufen und die Platte mal an den Rechner anschließen. Vielleicht hilft das.
Oder hast Du einen anderen / besseren Vorschlag?
Danke und liebe Grüße
Frank

markusg · 20.06.2011, 19:08

nein. das wäre auch mein vorschlag gewesen.
so lange die exe dateien keine keygens oder illegale dateien sind, wie aus filesharing ists ok.
wir prüfen noch mal alles befor wir die daten auf das neue system kopieren.
die bank überprüft ja, von wo aus geld abgehoben wird. die arbeiten eng mit vielen sicherheitsdienste anbietern zusammen und können probleme feststellen.

fhkiwi · 20.06.2011, 19:48

OK!
Gibt es eine sichere Methode festzustellen, ob meine anderen Rechner frei von diesem Rootkit sind? Meine Kinder haben noch einen "Spielecomputer" und wir haben auch noch ein Laptop. Und da werden immer wieder Dateien (s.o.) per USB-Stick hin und her transportiert.

fhkiwi · 20.06.2011, 19:50

wie schon geschrieben: Ich hab den Avira Virenscanner und die Zone Alarm Firewann laufen. Jetzt dazu noch das Programm Spybot.

Reicht das um mir nicht wieder was einzufangen?

markusg · 21.06.2011, 10:22

ist das system formatiert? ja oder nein, zonealarm ist nutzlos, genau wie spybot. ich werde dir zeigen was benötigt ist, sobald formatiert wurde.

fhkiwi · 21.06.2011, 19:36

Hallo Markus,
so, erledigt. Formatiert und alle Programme neu installiert.
Grüße
Frank

markusg · 21.06.2011, 20:08

hoffendlich nicht wieder zonealarm und den andern komischen mumpiz, ist alles nicht nötig, deinstalieren und folgende anleitung komplett durcharbeiten.
und wenn ich sage komplett, meie ich das, also alles instalieren, und einstellen, wenn sich fragen ergeben stelle sie, dann arbeiten wirs zusammen durch.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows xp / und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

16.06.2011, 09:37	#2
markusg /// Malware-holic	Trojaner in userinit.exe? hi, was hat avira gefunden, öffnen, reports, scan log. du wirst warscheinlich formatieren müssen, will vorher noch 1 log. bitte erstelle und poste ein combofix log. http://www.bleepingcomputer.com/comb...x-benutzt-wird __________________ __________________

16.06.2011, 15:00	#6
markusg /// Malware-holic	Trojaner in userinit.exe? machst du onlinebanking, einkäufe oder sonst was wichtiges mit dem pc, beruflich oder privat? zu dem ausspieonieren anderer menschen sage ich mal nichts weiter, außer das es strafbar ist. __________________ --> Trojaner in userinit.exe?

Trojaner in userinit.exe?

Plagegeister aller Art und deren Bekämpfung: Trojaner in userinit.exe?