Google Fehlleitung und Hintergrundmusik

gunnar_p · 20.06.2011, 20:03

Hallo,

zu Schritt 2:
habe die Deinstallation durchgeführt. Das ging aber nicht so leicht über die Systemsteuerung. Hat eine Fehlermeldung ausgegeben. Die Toolbar wurde dann zwar nicht mehr in den Programmen der Systemsteuerung angezeigt, nach dem Start des Internet Explorers (den ich eigentlich nie nutze und erst vor wenigen Tagen von Version 6 auf 8 upgedated habe) war sie aber immer noch da. Ich habe die Toolbar dann manuell deinstalliert. Sollte funktioniert haben.

Ich stecke nun bei Schritt 3 fest. Der TDSSKiller startet nicht. Ich habe es nochmal vorsichtshalber im abgesicherten Modus probiert, aber auch das war erfolglos. Von Schritt 4 abgesehen habe ich nun gestoppt.

Zu Schritt # 4 schon mal meine Antworten:

Zitat:

Anscheinend wurden bei deiner letzten Bereinigung OTL und ComboFix nicht entfernt. Befindet sich auf deinem Rechner noch die Datei ComboFix.exe?

Das ist richtig. Ich hatte die Tools noch auf meiner D-Partition vom letzten Mal gespeichert. Ich habe zwischenzeitlich alle entsprechenden Anwendungen gelöscht.

Zitat:

Seit wann genau hast du dieses Problem mit den Google Umleitungen? Ein ungefähres Datum wäre auch nicht verkehrt.

Hm, das ist schwer zu sagen. Ich bin mir ziemlich sicher, dass ich diese Umleitungen vor meinem letzten Virusproblem (Mitte Mai) noch nicht hatte. 100%-ig kann ich es leider nicht sagen.

Grüße
Gunnar

M-K-D-B · 21.06.2011, 09:38

Hallo Gunnar,

Zitat:

Zitat von gunnar_p

Der TDSSKiller startet nicht. Ich habe es nochmal vorsichtshalber im abgesicherten Modus probiert, aber auch das war erfolglos.

Das hört sich nicht gut an. Es scheint, als ob das Tool blockiert wird.
Lösche den TDSS Killer von deinem Rechner und lade dir das Tool erneut herunter. Benenne die Datei vor dem Abspeichern auf dem Desktop in gunnar.exe um. Hilft das?

Ich brauche mehr Informationen:

Schritt # 1: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 2: Scan mit mbr.exe
Downloade dir mbr.exe auf deinen Desktop.

Starte die mbr.exe
Benutzer von Windows Vista und 7 mit Rechtsklick -> Als Administrator ausführen
Das Tool startet automatisch seine Suche. Dabei erscheint ein schwarzes Fenster.
Nach Beendigung des Suchlaufs findest du auf deinem Desktop eine Datei mbr.txt.
Poste mir den Inhalt des Logfiles mit deiner nächsten Antwort.

Schritt # 3: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

/md5start
atapi.sys
volsnap.sys
/md5stop

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Frage,
das Logfile von aswMBR,
das Logfile von mbr.exe und
das neue Logfile von OTL (OTL.txt).

gunnar_p · 21.06.2011, 21:33

Hallo,

der TDSSSKiller wollte auch nach Umbenennung weder im normalen noch im abgesicherten Modus starten.
Hier nun der aswMBR-log:

Code:

ATTFilter

aswMBR version 0.9.7.675 Copyright(c) 2011 AVAST Software
Run date: 2011-06-21 22:08:12
-----------------------------
22:08:12.031    OS Version: Windows 5.1.2600 Service Pack 3
22:08:12.031    Number of processors: 2 586 0x1706
22:08:12.031    ComputerName: SAMSUNG-P560  UserName: ***
22:08:12.437    Initialize success
22:08:14.890    AVAST engine download error: 0
22:08:17.078    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
22:08:17.078    Disk 0 Vendor: FUJITSU_MHZ2250BH_G2 00000009 Size: 238475MB BusType: 3
22:08:19.109    Disk 0 MBR read successfully
22:08:19.109    Disk 0 MBR scan
22:08:19.109    Disk 0 unknown MBR code
22:08:21.109    Disk 0 scanning sectors +488392065
22:08:21.140    Disk 0 scanning C:\WINDOWS\system32\drivers
22:08:25.609    Service scanning
22:08:26.703    Disk 0 trace - called modules:
22:08:26.718    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8ab701ed]<<
22:08:26.718    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8abf2ab8]
22:08:26.718    3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8abffb00]
22:08:26.718    \Driver\atapi[0x8abf6238] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x8ab701ed
22:08:26.718    Scan finished successfully
22:08:44.250    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
22:08:44.250    The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"

Hier die mbr.log Datei

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: FUJITSU_MHZ2250BH_G2 rev.00000009 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Und zuletzt die OTL.txt:
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 21.06.2011 22:12:09 - Run 4
OTL by OldTimer - Version 3.2.24.1     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,36 Gb Available Physical Memory | 78,87% Memory free
4,84 Gb Paging File | 4,32 Gb Available in Paging File | 89,25% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 80,00 Gb Total Space | 42,01 Gb Free Space | 52,52% Space Free | Partition Type: NTFS
Drive D: | 142,88 Gb Total Space | 16,48 Gb Free Space | 11,53% Space Free | Partition Type: NTFS
 
Computer Name: SAMSUNG-P560 | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.06.19 20:42:50 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
PRC - [2011.03.28 16:15:17 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.28 16:14:56 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.03.28 16:14:56 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.02.18 11:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.03.26 15:31:20 | 000,132,424 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.10.07 17:13:44 | 002,772,992 | ---- | M] () -- C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
PRC - [2008.10.06 18:07:26 | 000,679,936 | ---- | M] (SAMSUNG Electronics) -- C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
PRC - [2008.09.08 13:20:18 | 000,031,248 | ---- | M] (Syntek America Inc.) -- C:\WINDOWS\system32\StkCSrv.exe
PRC - [2008.08.13 13:54:16 | 000,040,960 | ---- | M] (Softex Inc.) -- C:\Programme\Softex\OmniPass\OmniServ.exe
PRC - [2008.08.13 13:49:18 | 000,018,944 | ---- | M] () -- C:\Programme\Softex\OmniPass\OPXPApp.exe
PRC - [2008.05.21 16:44:30 | 000,299,008 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\MagicKBD\PerformanceManager.exe
PRC - [2008.05.20 20:02:08 | 000,372,736 | ---- | M] (SAMSUNG Electronics Co., Ltd.) -- C:\Programme\Samsung\MagicKBD\MagicKBD.exe
PRC - [2008.05.02 00:41:38 | 000,136,488 | ---- | M] (Wacom Technology, Corp.) -- C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
PRC - [2008.05.02 00:40:44 | 003,032,360 | ---- | M] (Wacom Technology, Corp.) -- C:\WINDOWS\system32\Pen_Tablet.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.03.18 05:27:12 | 000,013,312 | R--- | M] (Agere Systems) -- C:\WINDOWS\system32\agrsmsvc.exe
PRC - [2008.03.17 18:07:02 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2007.12.20 20:40:30 | 000,659,456 | ---- | M] (Samsung Electronics,.LTD) -- C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
PRC - [2007.07.24 00:59:22 | 000,660,760 | ---- | M] (Infineon Technologies AG) -- C:\Programme\Infineon\Security Platform Software\SpTNA.exe
PRC - [2007.07.24 00:59:22 | 000,185,624 | ---- | M] (Infineon Technologies AG) -- C:\Programme\Infineon\Security Platform Software\PSDrt.exe
PRC - [2007.07.24 00:59:12 | 000,140,568 | ---- | M] (Infineon Technologies AG) -- C:\WINDOWS\system32\IfxPsdSv.exe
PRC - [2006.10.30 14:29:28 | 000,036,864 | ---- | M] () -- C:\Programme\Samsung\Samsung Network Manager\SNMWLANService.exe
PRC - [2006.03.14 07:22:00 | 000,206,400 | ---- | M] (SafeNet, Inc) -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
PRC - [2004.03.08 14:26:30 | 000,548,864 | ---- | M] () -- C:\Programme\ESRI\License\arcgis9x\ARCGIS.EXE
PRC - [1999.12.01 13:38:28 | 000,467,968 | ---- | M] () -- C:\Programme\ESRI\License\arcgis9x\lmgrd.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.06.19 20:42:50 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2008.05.14 15:13:00 | 001,486,848 | ---- | M] () -- C:\WINDOWS\system32\nview.dll
MOD - [2008.05.14 15:13:00 | 000,311,296 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvwrsde.dll
MOD - [2008.05.14 15:13:00 | 000,081,920 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvwddi.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] --  -- (PEVSystemStart)
SRV - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.03.28 16:14:56 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.03.07 23:50:03 | 001,045,256 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.09.01 15:52:56 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.06.23 13:52:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.29 08:53:22 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2009.04.30 22:43:01 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2009.03.26 15:31:20 | 000,132,424 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2008.09.08 13:20:18 | 000,031,248 | ---- | M] (Syntek America Inc.) [Auto | Running] -- C:\WINDOWS\system32\StkCSrv.exe -- (StkSSrv)
SRV - [2008.08.13 13:54:16 | 000,040,960 | ---- | M] (Softex Inc.) [Auto | Running] -- C:\Programme\Softex\OmniPass\OmniServ.exe -- (omniserv)
SRV - [2008.05.13 08:44:00 | 000,077,480 | ---- | M] () [Auto | Stopped] -- C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- (Samsung Update Plus)
SRV - [2008.05.02 00:40:44 | 003,032,360 | ---- | M] (Wacom Technology, Corp.) [Auto | Running] -- C:\WINDOWS\system32\Pen_Tablet.exe -- (TabletServicePen)
SRV - [2008.03.18 05:27:12 | 000,013,312 | R--- | M] (Agere Systems) [Auto | Running] -- C:\WINDOWS\system32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2008.03.17 18:07:02 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.07.24 00:59:12 | 000,140,568 | ---- | M] (Infineon Technologies AG) [Auto | Running] -- C:\WINDOWS\system32\IfxPsdSv.exe -- (PersonalSecureDriveService)
SRV - [2006.10.30 14:29:28 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe -- (SNM WLAN Service)
SRV - [2006.10.26 20:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.03.27 17:45:52 | 000,049,152 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\RSI\IDL63\bin\bin.x86\idl_dicomexstorscp.exe -- (IDL DicomEx Storage SCP)
SRV - [2006.03.14 07:22:00 | 000,206,400 | ---- | M] (SafeNet, Inc) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe -- (SentinelProtectionServer)
SRV - [2005.11.14 01:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [1999.12.01 13:41:52 | 000,592,896 | ---- | M] () [Auto | Stopped] -- C:\Programme\ESRI\License\arcgis9x\lmtools.exe -- (27000@samsung-p560)
SRV - [1999.12.01 13:38:28 | 000,467,968 | ---- | M] () [Auto | Running] -- C:\Programme\ESRI\License\arcgis9x\lmgrd.exe -- (samsung-p560)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.04.01 17:07:25 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.04.01 17:07:25 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.12.17 07:56:10 | 000,014,424 | ---- | M] (Ghisler Software GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\totalcmd\CGLPTNT.SYS -- (cglptnt)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.10.26 15:47:30 | 004,221,952 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32) Intel(R)
DRV - [2008.09.12 20:30:08 | 001,374,736 | ---- | M] (Syntek) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\StkCMini.sys -- (StkCMini)
DRV - [2008.09.05 21:20:22 | 000,041,376 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2008.05.30 13:44:42 | 000,146,944 | R--- | M] (AuthenTec, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\atswpdrv.sys -- (ATSWPDRV) AuthenTec TruePrint USB Driver (SwipeSensor)
DRV - [2008.05.20 10:53:00 | 004,800,000 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.04.15 10:16:44 | 000,244,368 | R--- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\e1y5132.sys -- (e1yexpress) Intel(R)
DRV - [2008.03.21 05:13:00 | 001,203,776 | R--- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2008.03.17 22:14:52 | 000,015,144 | ---- | M] (Wacom Technology) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wacmoumonitor.sys -- (wacmoumonitor)
DRV - [2008.02.15 18:01:18 | 000,046,592 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2008.01.15 22:11:46 | 000,013,480 | ---- | M] (Wacom Technology) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wacomvhid.sys -- (wacomvhid)
DRV - [2008.01.14 19:01:02 | 000,030,208 | ---- | M] (Samsung Electronics,.LTD) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SamsungEDS.SYS -- (DNSeFilter)
DRV - [2007.07.24 00:59:14 | 000,038,816 | ---- | M] (Infineon Technologies AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\psd.sys -- (PersonalSecureDrive)
DRV - [2007.07.24 00:59:12 | 000,041,216 | R--- | M] (Infineon Technologies AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ifxtpm.sys -- (IFXTPM)
DRV - [2007.03.31 06:02:42 | 000,876,384 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2007.03.23 03:50:42 | 000,067,960 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2007.03.23 03:50:36 | 000,037,280 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwmodem.sys -- (btwmodem)
DRV - [2007.03.23 03:50:24 | 000,149,123 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2007.03.23 03:50:08 | 000,037,424 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2007.03.23 03:49:54 | 000,539,072 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2007.02.16 21:12:36 | 000,011,312 | ---- | M] (Wacom Technology) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wacommousefilter.sys -- (wacommousefilter)
DRV - [2007.02.16 02:11:28 | 000,011,440 | ---- | M] (Wacom Technology) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WacomVKHid.sys -- (WacomVKHid)
DRV - [2006.03.14 07:22:00 | 000,090,176 | ---- | M] (SafeNet, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS -- (Sentinel)
DRV - [2000.08.24 01:19:38 | 000,004,300 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.mini60.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.91
FF - prefs.js..extensions.enabledItems: {9ab67d74-ec41-4cb2-b417-df5d93ba1beb}:1.5.3
FF - prefs.js..extensions.enabledItems: {B17C1C5A-04B1-11DB-9804-B622A1EF5492}:1.2.1
FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&q="
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, fritz.box, 192.168.178.254"
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.17 21:33:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.17 21:33:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.05.04 21:47:27 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.09.01 22:24:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.09.01 22:24:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.06.20 22:17:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions
[2010.04.28 10:07:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.05.02 21:28:41 | 000,000,000 | ---D | M] (ZoneAlarm Community Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}
[2011.05.02 21:28:39 | 000,000,000 | ---D | M] (Table2Clipboard) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions\{9ab67d74-ec41-4cb2-b417-df5d93ba1beb}
[2011.05.12 01:02:37 | 000,000,000 | ---D | M] (Password Exporter) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}
[2011.06.10 21:33:18 | 000,000,000 | ---D | M] (HTTPS-Everywhere) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions\https-everywhere@eff.org
[2011.05.17 21:33:27 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions\nostmp
[2011.05.02 21:28:32 | 000,000,000 | ---D | M] (Cooliris) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\extensions\piclens@cooliris.com
[2010.06.08 23:00:34 | 000,000,921 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\searchplugins\conduit.xml
[2011.05.17 21:18:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.25 13:02:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
File not found (No name found) -- 
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\KNLFN47O.DEFAULT\EXTENSIONS\{A0D7CCB3-214D-498B-B4AA-0E8FDA9A7BF7}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\KNLFN47O.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011.05.17 21:33:12 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2009.11.18 16:49:42 | 000,164,120 | ---- | M] (Tracker Software Products Ltd.) -- C:\Programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
[2011.05.17 21:33:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.05.17 21:33:14 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
[2011.05.17 21:33:14 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.05.17 21:33:14 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.05.17 21:33:14 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.05.17 21:33:14 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.05.14 14:07:02 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
O4 - HKLM..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe (SAMSUNG Electronics)
O4 - HKLM..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [MagicKeyboard] C:\Programme\Samsung\MagicKBD\PreMKbd.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [Power2GoExpress]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\OPXPGina: DllName - C:\Programme\Softex\OmniPass\opxpgina.dll - C:\Programme\Softex\OmniPass\OPXPGina.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.06 14:57:22 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{49ae751e-22e5-11de-bedb-00216b04e8b6}\Shell - "" = AutoRun
O33 - MountPoints2\{49ae751e-22e5-11de-bedb-00216b04e8b6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{49ae751e-22e5-11de-bedb-00216b04e8b6}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.06.21 21:50:37 | 001,904,128 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\***\Desktop\aswMBR.exe
[2011.06.21 21:49:17 | 001,441,584 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\***\Desktop\gunnar.exe
[2011.06.19 20:42:47 | 000,579,072 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2011.06.18 23:25:18 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\***\PrivacIE
[2011.06.18 23:23:40 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\***\IETldCache
[2011.06.18 23:03:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2011.06.18 23:02:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2011.06.18 23:00:43 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2011.05.26 21:49:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira
 
========== Files - Modified Within 30 Days ==========
 
[2011.06.21 22:10:13 | 000,000,041 | ---- | M] () -- C:\WINDOWS\Filzip.ini
[2011.06.21 22:10:06 | 000,089,088 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\mbr.exe
[2011.06.21 22:09:10 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.06.21 22:09:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.06.21 22:08:44 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\MBR.dat
[2011.06.21 22:06:22 | 000,186,442 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.06.21 22:05:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.06.21 21:50:43 | 001,904,128 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\***\Desktop\aswMBR.exe
[2011.06.21 21:49:21 | 001,441,584 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\***\Desktop\gunnar.exe
[2011.06.21 21:44:36 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.06.19 23:38:42 | 000,448,970 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.06.19 23:38:42 | 000,432,690 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.06.19 23:38:42 | 000,080,488 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.06.19 23:38:42 | 000,067,646 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.06.19 23:36:23 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.06.19 22:27:47 | 000,021,508 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\txt.zip
[2011.06.19 20:55:33 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\2nqx907f.exe
[2011.06.19 20:42:50 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2011.06.19 20:42:06 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\defogger_reenable
[2011.06.18 23:08:27 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe
[2011.06.18 22:57:47 | 000,003,729 | ---- | M] () -- C:\WINDOWS\wincmd.ini
[2011.06.12 10:43:51 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2011.06.09 23:04:09 | 001,035,117 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Data.kml
[2011.06.09 23:03:09 | 000,000,709 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Fukushima.kml
[2011.06.09 20:21:30 | 000,258,469 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Nina_2010_096_260910374_1.pdf
[2011.06.09 20:21:06 | 000,228,218 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Nina_2010_095_260910374_1.pdf
[2011.06.09 20:20:53 | 000,364,876 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Nina_2010_094_260910374_1.pdf
[2011.05.30 23:18:05 | 000,060,586 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\379231_max.jpg
[2011.05.30 23:13:20 | 000,026,447 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\34817.jpg
[2011.05.26 21:45:37 | 000,013,030 | ---- | M] () -- C:\PDOXUSRS.NET
[2011.05.23 20:42:00 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
 
========== Files Created - No Company Name ==========
 
[2011.06.21 22:10:07 | 000,089,088 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\mbr.exe
[2011.06.21 22:08:44 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\MBR.dat
[2011.06.19 22:27:47 | 000,021,508 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\txt.zip
[2011.06.19 20:55:35 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\2nqx907f.exe
[2011.06.19 20:42:06 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\***\defogger_reenable
[2011.06.18 23:08:29 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe
[2011.06.09 23:04:09 | 001,035,117 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Data.kml
[2011.06.09 23:03:09 | 000,000,709 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Fukushima.kml
[2011.06.09 20:21:29 | 000,258,469 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Nina_2010_096_260910374_1.pdf
[2011.06.09 20:21:06 | 000,228,218 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Nina_2010_095_260910374_1.pdf
[2011.06.09 20:20:53 | 000,364,876 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Nina_2010_094_260910374_1.pdf
[2011.05.30 23:18:04 | 000,060,586 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\379231_max.jpg
[2011.05.30 23:13:20 | 000,026,447 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\34817.jpg
[2011.05.23 20:52:20 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Outlook Express.lnk
[2011.05.23 20:52:19 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011.05.23 20:52:18 | 000,000,783 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Internet Explorer.lnk
[2011.05.14 13:55:56 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.05.14 13:55:56 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.05.14 13:55:56 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.05.14 13:55:56 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.05.14 13:55:56 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.11.21 21:37:29 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2010.06.02 20:48:41 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.03.15 01:31:07 | 000,000,047 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\RegFree.ini
[2009.12.21 13:07:49 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS66.DLL
[2009.08.18 19:50:13 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2009.08.17 22:58:21 | 000,000,413 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\idl_assistantrc
[2009.08.11 22:53:40 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.07.04 11:16:31 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2009.07.04 11:16:31 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2009.07.04 11:16:31 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2009.07.04 11:16:31 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2009.07.04 11:16:31 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2009.07.04 11:16:31 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2009.07.04 11:16:31 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2009.07.04 11:16:31 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2009.07.04 11:16:31 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2009.07.04 11:16:31 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2009.07.04 11:16:31 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2009.07.04 11:16:31 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2009.07.04 11:16:31 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2009.07.04 11:16:31 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2009.07.04 11:16:31 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2009.07.04 11:16:31 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2009.07.04 11:16:31 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2009.07.04 11:16:31 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2009.07.04 11:16:31 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2009.06.14 12:53:59 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.06.11 22:40:14 | 000,000,035 | ---- | C] () -- C:\WINDOWS\Ulead32.INI
[2009.06.11 22:38:39 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\mscandc.ini
[2009.06.11 22:38:07 | 000,044,491 | ---- | C] () -- C:\WINDOWS\System32\MiiIniFile13.ini
[2009.06.11 22:38:02 | 000,285,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsio.sys
[2009.06.11 22:38:02 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsreged.sys
[2009.06.11 13:05:07 | 000,000,060 | ---- | C] () -- C:\WINDOWS\DirectionsUI.INI
[2009.06.11 13:05:07 | 000,000,045 | ---- | C] () -- C:\WINDOWS\NetworkAnalystUI.INI
[2009.04.13 17:28:59 | 000,000,041 | ---- | C] () -- C:\WINDOWS\Filzip.ini
[2009.04.08 23:13:10 | 000,589,312 | ---- | C] () -- C:\WINDOWS\System32\IDAPI32.DLL
[2009.04.07 21:58:53 | 000,000,438 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2009.04.06 22:08:51 | 000,003,729 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2009.04.06 21:52:50 | 000,004,212 | ---- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2009.04.06 21:24:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.04.06 15:47:15 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.04.06 15:45:30 | 000,306,808 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.04.06 15:39:42 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI
[2009.04.06 15:39:42 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\***_KBD.ini
[2009.04.06 15:39:41 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI
[2009.04.06 15:39:41 | 000,002,741 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI
[2009.04.06 15:39:41 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI
[2009.04.06 15:39:41 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI
[2009.04.06 15:39:41 | 000,002,606 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI
[2009.04.06 15:39:41 | 000,002,236 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI
[2009.04.06 15:39:41 | 000,001,956 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI
[2009.04.06 15:39:41 | 000,001,885 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI
[2009.04.06 15:39:41 | 000,001,857 | ---- | C] () -- C:\WINDOWS\System32\KBDUU.INI
[2009.04.06 15:39:41 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI
[2009.04.06 15:39:41 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI
[2009.04.06 15:39:41 | 000,001,834 | ---- | C] () -- C:\WINDOWS\System32\KBDU.INI
[2009.04.06 15:39:41 | 000,001,819 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI
[2009.04.06 15:39:41 | 000,001,699 | ---- | C] () -- C:\WINDOWS\System32\KBDT.INI
[2009.04.06 15:39:41 | 000,001,697 | ---- | C] () -- C:\WINDOWS\System32\KBDV.INI
[2009.04.06 15:39:41 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI
[2009.04.06 15:39:41 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI
[2009.04.06 15:35:26 | 000,000,135 | R--- | C] () -- C:\WINDOWS\System32\lngEng.ini
[2009.04.06 15:35:26 | 000,000,117 | ---- | C] () -- C:\WINDOWS\System32\lngKor.ini
[2009.04.06 15:30:02 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2009.04.06 15:27:02 | 000,197,648 | ---- | C] () -- C:\WINDOWS\System32\drivers\StkCSF.sys
[2009.04.06 15:27:02 | 000,080,400 | ---- | C] () -- C:\WINDOWS\StkUnist.exe
[2009.04.06 15:18:35 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2009.04.06 14:59:24 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.04.06 14:54:16 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.05.14 15:13:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008.05.14 15:13:00 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2008.05.14 15:13:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008.05.14 15:13:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008.05.14 15:13:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008.05.14 15:13:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008.05.14 15:13:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2007.04.01 09:00:28 | 002,842,624 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2007.04.01 08:41:52 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2007.02.26 16:49:12 | 006,139,774 | ---- | C] () -- C:\WINDOWS\imagine digital freedom.dat
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,448,970 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,432,690 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,080,488 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,067,646 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[2001.08.31 07:32:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.08.31 07:30:56 | 000,004,486 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2009.11.03 10:40:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2009.04.18 20:49:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESRI
[2009.04.06 15:29:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon
[2010.03.15 01:32:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsolatedStorage
[2009.04.06 21:51:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2009.12.16 00:40:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PDF Writer
[2010.12.14 09:30:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2009.04.17 21:28:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2010.10.29 21:43:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.gephi07beta
[2010.08.23 21:47:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AnvSoft
[2010.03.15 01:32:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\BeGraphic
[2010.07.08 14:49:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CheckPoint
[2009.09.21 16:33:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DataEast
[2011.06.17 21:54:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EndNote
[2009.09.03 21:40:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EPSON
[2010.01.21 16:56:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ESRI
[2009.08.18 22:17:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
[2009.08.17 21:34:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\fltk.org
[2009.08.02 23:53:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Focus Mp3 Recorder
[2009.07.16 22:07:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Foxit
[2009.09.04 08:46:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2009.04.06 15:29:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Infineon
[2009.06.19 08:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\JAlbum
[2010.12.19 00:08:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\JOSM
[2011.03.17 00:00:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech
[2010.08.23 21:47:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenCandy
[2009.04.06 22:09:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org
[2009.12.27 11:42:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Opera
[2009.12.16 00:40:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PDF Writer
[2010.09.01 22:24:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
[2010.08.24 00:06:48 | 000,000,262 | ---- | M] () -- C:\WINDOWS\Tasks\prismShakeIcon.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2009.05.24 12:14:59 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2009.05.24 12:14:59 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ERDNT\cache\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys
[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys
 
< MD5 for: VOLSNAP.SYS  >
[2008.04.14 03:52:02 | 000,053,760 | ---- | M] (Microsoft Corporation) MD5=A5A712F4E880874A477AF790B5186E1D -- C:\WINDOWS\ServicePackFiles\i386\volsnap.sys
[2008.04.14 03:52:02 | 000,053,760 | ---- | M] (Microsoft Corporation) MD5=A5A712F4E880874A477AF790B5186E1D -- C:\WINDOWS\system32\drivers\volsnap.sys
[2004.08.04 14:00:00 | 000,053,760 | ---- | M] (Microsoft Corporation) MD5=D6888520FF56D72A50437E371CA25FC9 -- C:\WINDOWS\$NtServicePackUninstall$\volsnap.sys

< End of report >

--- --- ---

M-K-D-B · 21.06.2011, 21:59

Hallo Gunnar,

Schritt # 1: ComboFix umbenannt ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von dem aufgeführten Link herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer - InfoSpyware

Firefox User:
Bitte folgende Einstellung vornehmen. Extras --> Einstellungen --> Reiter Allgemein und hacke
Jedesmal nachfragen wo eine Datei gespeichert werden soll an. Übernehmen --> OK.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von ComboFix.

gunnar_p · 22.06.2011, 05:39

Guten Morgen M-K-D-B,

ich habe AVIRA und auch die Firewall und auch die Internetverbindung gekappt und Combo-Fix (umbenannt bei download) vom Desktop aus gestartet. Das Tool startet und hängt sich dann aber auf (siehe angehängtes JPG). Kann ich es über den Taskmanager abschiessen? Ich habe AVIRA über die Systemleiste deaktiviert. Im Taskmanager gibt es aber denoch drei laufende Prozesse (avgnt.exe, avguard.exe, avshadow.exe). Bin mir aber nicht sicher ob dies AVIRA Prozesse sind.

Grüsse
Gunnar

M-K-D-B · 22.06.2011, 07:39

Hallo Gunnar,

Zitat:

Zitat von gunnar_p

ich habe AVIRA und auch die Firewall und auch die Internetverbindung gekappt und Combo-Fix (umbenannt bei download) vom Desktop aus gestartet.
Das Tool startet und hängt sich dann aber auf (siehe angehängtes JPG). Kann ich es über den Taskmanager abschiessen? Ich habe AVIRA über die Systemleiste deaktiviert. Im Taskmanager gibt es aber denoch drei laufende Prozesse (avgnt.exe, avguard.exe, avshadow.exe). Bin mir aber nicht sicher ob dies AVIRA Prozesse sind.

Ja, dabei handelt es sich um Prozesse von Avira. Wenn der Guard von Avira deaktiviert ist, sollte ComboFix aber durchlaufen. War aber bei dir wohl nicht der Fall.

Lösche die vorhandene Datei Combo-Fix.exe von deinem Desktop.

Die Internetverbindung darfst du nicht beenden. Davon habe ich doch nichts geschrieben.

ZoneAlarm und den Avira Guard deaktivieren, was an der Taskleiste rechts unten mithilfe der Symbole zu erledigen ist.

Auf eine Neues:

Schritt # 1: ComboFix umbenannt ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von dem aufgeführten Link herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer - InfoSpyware

Firefox User:
Bitte folgende Einstellung vornehmen. Extras --> Einstellungen --> Reiter Allgemein und hacke
Jedesmal nachfragen wo eine Datei gespeichert werden soll an. Übernehmen --> OK.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von ComboFix.

gunnar_p · 22.06.2011, 09:58

Allright. Ich war etwas zu voreilig, sorry.
Combofix ist nun durchgelaufen. Es gab zwei Meldungen.
1. Fehler beim Überschreiben der Datei C:\32788R22FWJFW\iexplore.exe
Klicken sie auf Abbrechen um abzubrechen, auf Wiederholen um den Schreibvorgang erneut zu versuchen oder auf ignorieren, um diese Datei zu überspringen.
"Wiederholen" war erfolglos, so dass ich es dann "ignoriert" habe. Die genannte Datei war die, bei der sich beim ersten Versuch Combofix aufgehängt hatte (siehe voherige Nachricht und JPG).
2. Die zweite Meldung war, dass der Download der Wiederherstellungskonsole fehlgeschlagen sei.
Danach lief das Programm aber durch und hier kommt das logfile:

[CODE]
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-06-21.06 - *** 22.06.2011   9:13.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3066.2533 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Infizierte Kopie von c:\windows\system32\drivers\volsnap.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-22 bis 2011-06-22  ))))))))))))))))))))))))))))))
.
.
2011-06-18 21:25 . 2011-06-18 21:25	--------	d-sh--w-	c:\dokumente und einstellungen\***\PrivacIE
2011-06-18 21:25 . 2011-06-18 21:25	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2011-06-18 21:23 . 2011-06-18 21:23	--------	d-sh--w-	c:\dokumente und einstellungen\***\IETldCache
2011-06-18 21:00 . 2011-06-18 21:02	--------	dc-h--w-	c:\windows\ie8
2011-06-18 20:57 . 2010-10-18 11:10	7680	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2011-06-18 20:57 . 2011-04-25 16:05	602112	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2011-06-18 20:57 . 2011-04-25 16:05	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2011-06-18 20:57 . 2011-04-25 16:05	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2011-06-18 20:57 . 2011-04-25 16:05	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2011-06-18 20:57 . 2011-04-25 16:05	1991680	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2011-06-18 20:57 . 2011-04-25 16:05	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2011-06-18 20:57 . 2011-04-26 08:05	11081728	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2011-06-17 18:23 . 2011-04-21 13:37	105472	-c----w-	c:\windows\system32\dllcache\mup.sys
2011-06-17 18:23 . 2011-04-30 03:01	758784	-c--a-w-	c:\windows\system32\dllcache\vgx.dll
2011-05-31 19:49 . 2011-06-14 17:47	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-26 19:49 . 2011-05-26 19:49	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-15 19:59 . 2011-05-15 19:59	883038	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\AddIns\XLToolbox\uninstall\unins000.exe
2011-05-10 04:59 . 2011-03-07 21:42	8704	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\AddIns\XLToolbox\xltoolbox.dll
2011-05-02 15:31 . 2009-04-06 12:54	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2004-08-04 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-04 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-04 12:00	385024	------w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-04 12:00	105472	----a-w-	c:\windows\system32\drivers\mup.sys
2011-04-01 15:07 . 2011-05-16 19:15	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-04-01 15:07 . 2011-05-16 19:15	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-05-17 19:33 . 2011-05-17 19:33	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Power2GoExpress"="NA" [X]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-03-11 24095528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"EDS"="c:\programme\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-14 13533184]
"nwiz"="nwiz.exe" [2008-05-14 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-14 86016]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-08-18 794714]
"OmniPass"="c:\programme\Softex\OmniPass\scureapp.exe" [2008-08-13 2670592]
"IFXSPMGT"="c:\windows\system32\ifxspmgt.exe" [2008-01-25 677144]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"DMHotKey"="c:\programme\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"BatteryManager"="c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-07 2772992]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-23 1043968]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2008-08-13 11:49	73728	----a-w-	c:\programme\Softex\OmniPass\OPXPGina.dll
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-04-02 14:11	342312	----a-w-	c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programme\\CyberLink\\PowerDirector\\PDR.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [24.07.2007 00:59 38816]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.05.2011 21:16 136360]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [06.04.2009 15:30 4300]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [06.04.2009 15:27 31248]
R2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [21.09.2009 16:35 3032360]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14.01.2008 19:01 30208]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [06.04.2009 15:21 244368]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [06.04.2009 15:28 41216]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [06.04.2009 15:20 41376]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [06.04.2009 15:27 1374736]
S2 27000@samsung-p560;27000@samsung-p560;c:\programme\ESRI\License\arcgis9x\lmtools.exe [11.06.2009 11:06 592896]
S2 gupdate1c9b887e0a7795c;Google Update Service (gupdate1c9b887e0a7795c);c:\programme\Google\Update\GoogleUpdate.exe [08.04.2009 22:23 133104]
S2 samsung-p560;samsung-p560;c:\programme\ESRI\License\arcgis9x\lmgrd.exe [11.06.2009 11:06 467968]
S2 SNM WLAN Service;SNM WLAN Service;c:\programme\Samsung\Samsung Network Manager\SNMWLANService.exe [30.10.2006 14:29 36864]
S3 cglptnt;cglptnt;c:\programme\totalcmd\CGLPTNT.SYS [06.04.2009 22:08 14424]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.04.2009 22:23 133104]
S3 IDL DicomEx Storage SCP;IDL DicomEx Storage SCP;c:\programme\RSI\IDL63\bin\bin.x86\idl_dicomexstorscp.exe [27.03.2006 17:45 49152]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04.08.2004 14:00 14336]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [21.09.2009 16:35 15144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-03-17 15:56	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-08 20:23]
.
2011-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-08 20:23]
.
2010-08-23 c:\windows\Tasks\prismShakeIcon.job
- c:\programme\NCH Software\Prism\prism.exe [2010-08-23 20:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.mini60.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 217.74.208.66 217.74.208.67
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\knlfn47o.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&SearchSource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&q=
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-22 09:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(996)
c:\programme\Softex\OmniPass\opxpgina.dll
.
Zeit der Fertigstellung: 2011-06-22  09:19:33
ComboFix-quarantined-files.txt  2011-06-22 07:19
ComboFix2.txt  2011-05-14 12:33
.
Vor Suchlauf: 16 Verzeichnis(se), 44.813.180.928 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 45.693.190.144 Bytes frei
.
- - End Of File - - 44D8AE745E27A54200ADC7CE09CCF5D7

--- --- ---

Google Fehlleitung und Hintergrundmusik

Plagegeister aller Art und deren Bekämpfung: Google Fehlleitung und Hintergrundmusik