| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bootsektorvirus BOO/TDss.M in beiden Laufwerken und TR/Trash.Gen nach Wiederherst. von NetbookWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.06.2011, 18:30
| #1 |
 |  Bootsektorvirus BOO/TDss.M in beiden Laufwerken und TR/Trash.Gen nach Wiederherst. von Netbook Hallo, Angefangen hatte alles, als ich einen angeblichen Scan von einem externen Programm (aus dem Internetbrowser heraus) über mein System jagen lies, da ich zu schnell reagiert hatte, stimmte ich zu...das war aber eine Seite, die sich öffnete und sehr echt wirkte...danach versuchte ich Neustart, aber Windows wurde garnicht mehr hochgefahren, sondern es öffnete sich nach dem Windows-Logo ein Programm, dass so ähnlich wie ein Virenprogramm aussah...man konnte es leider nicht schließen...irgendwie kam ich dann raus und es war nur noch ein Bluescreen da und ich konnte im ersten Moment kein einziges Programm öffnen...kam immer wieder eine Fehlermeldung. Jetzt habe ich mir einen Bootsektorvirus eingefangen, der mein System attackiert. Ich habe bisher probiert, das Problem über Wiederherstellung meines Netbooks zu beenden und die Partition D: formatiert, allerdings ist immer noch was drauf. In Antivir wird angezeigt, dass BOO/TDss.M in C: und D. und Masterbootsektor HD0 befindet. Ich habe nur eine Festplatte. Außerdem wird bei Ausführung eines Webbrowsers ständig geblockt durch Malwarebytes, ohne dieses Programm würde ich von Google Ergebnisseiten an komplett andere Seiten weitergeleitet werden, was sehr nervend ist. Man bemerkt auch, dass irgendwelche Prozesse im Hintergrund laufen. Danach habe ich nur noch die hier im Forum angegebenen Programme installiert und Logfiles erstellt, die ich folgend poste. Ich wäre für Hilfe sehr dankbar... Gruß Daniel PS: Antivir zeigte folgende Ergebnisse: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 19. Juni 2011 14:00 Es wird nach 2790993 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : DANIEL-PC Versionsinformationen: BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 01.04.2011 15:07:08 AVSCAN.DLL : 10.0.3.0 56168 Bytes 01.04.2011 15:07:22 LUKE.DLL : 10.0.3.2 104296 Bytes 01.04.2011 15:07:16 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:15:11 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:15:12 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:36:53 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:36:57 VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 10:36:57 VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 10:36:57 VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 10:36:57 VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 10:36:57 VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 10:36:57 VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 10:36:57 VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 10:36:57 VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 10:36:57 VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 10:36:57 VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 10:36:57 VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 10:36:58 VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 10:36:58 VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 10:36:58 VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 10:36:58 VBASE019.VDF : 7.11.9.172 141824 Bytes 14.06.2011 10:36:59 VBASE020.VDF : 7.11.9.214 144896 Bytes 15.06.2011 10:36:59 VBASE021.VDF : 7.11.9.244 196608 Bytes 16.06.2011 10:36:59 VBASE022.VDF : 7.11.9.245 2048 Bytes 16.06.2011 10:36:59 VBASE023.VDF : 7.11.9.246 2048 Bytes 16.06.2011 10:36:59 VBASE024.VDF : 7.11.9.247 2048 Bytes 16.06.2011 10:36:59 VBASE025.VDF : 7.11.9.248 2048 Bytes 16.06.2011 10:36:59 VBASE026.VDF : 7.11.9.249 2048 Bytes 16.06.2011 10:36:59 VBASE027.VDF : 7.11.9.250 2048 Bytes 16.06.2011 10:36:59 VBASE028.VDF : 7.11.9.251 2048 Bytes 16.06.2011 10:36:59 VBASE029.VDF : 7.11.9.252 2048 Bytes 16.06.2011 10:36:59 VBASE030.VDF : 7.11.9.253 2048 Bytes 16.06.2011 10:36:59 VBASE031.VDF : 7.11.10.12 60416 Bytes 17.06.2011 10:37:00 Engineversion : 8.2.5.20 AEVDF.DLL : 8.1.2.1 106868 Bytes 28.03.2011 14:14:53 AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 19.06.2011 10:37:05 AESCN.DLL : 8.1.7.2 127349 Bytes 28.03.2011 14:14:53 AESBX.DLL : 8.2.1.34 323957 Bytes 19.06.2011 10:37:06 AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 10:21:38 AEPACK.DLL : 8.2.6.9 557429 Bytes 19.06.2011 10:37:05 AEOFFICE.DLL : 8.1.1.25 205178 Bytes 19.06.2011 10:37:04 AEHEUR.DLL : 8.1.2.128 3547512 Bytes 19.06.2011 10:37:04 AEHELP.DLL : 8.1.17.2 246135 Bytes 19.06.2011 10:37:01 AEGEN.DLL : 8.1.5.6 401780 Bytes 19.06.2011 10:37:01 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.03.2011 14:14:45 AECORE.DLL : 8.1.21.1 196983 Bytes 19.06.2011 10:37:00 AEBB.DLL : 8.1.1.0 53618 Bytes 28.03.2011 14:14:44 AVWINLL.DLL : 10.0.0.0 19304 Bytes 28.03.2011 14:14:57 AVPREF.DLL : 10.0.0.0 44904 Bytes 01.04.2011 15:07:07 AVREP.DLL : 10.0.0.10 174120 Bytes 19.06.2011 10:37:06 AVREG.DLL : 10.0.3.2 53096 Bytes 01.04.2011 15:07:07 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 01.04.2011 15:07:08 AVARKT.DLL : 10.0.22.6 231784 Bytes 01.04.2011 15:07:04 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01.04.2011 15:07:06 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 28.03.2011 14:14:57 NETNT.DLL : 10.0.0.0 11624 Bytes 28.03.2011 14:15:04 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 01.04.2011 15:07:24 RCTEXT.DLL : 10.0.58.0 98152 Bytes 28.03.2011 14:15:16 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Sonntag, 19. Juni 2011 14:00 Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamgui.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'Gilautouc.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'SRSTrayApp.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'batterymiser.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'VM331_STI.EXE' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'MagnifyingGlass.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'IP Operator.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'HotKey.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'iaanotif.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'SRS_PostInstaller.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'DVMExportService.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '115' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [FUND] Enthält Code des Bootsektorvirus BOO/TDss.M [HINWEIS] Der Sektor wurde nicht neu geschrieben! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [FUND] Enthält Code des Bootsektorvirus BOO/TDss.M [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'D:\' [FUND] Enthält Code des Bootsektorvirus BOO/TDss.M [HINWEIS] Der Sektor wurde nicht neu geschrieben! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '372' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{4EFE1C7E-4E32-4DB4-968C-8F4053A0E3D5}\RP2\A0000166.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{4EFE1C7E-4E32-4DB4-968C-8F4053A0E3D5}\RP2\A0000167.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\System Volume Information\_restore{4EFE1C7E-4E32-4DB4-968C-8F4053A0E3D5}\RP2\A0000167.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44eeb5f5.qua' verschoben! C:\System Volume Information\_restore{4EFE1C7E-4E32-4DB4-968C-8F4053A0E3D5}\RP2\A0000166.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c799a52.qua' verschoben! Ende des Suchlaufs: Sonntag, 19. Juni 2011 17:10 Benötigte Zeit: 2:48:41 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 2180 Verzeichnisse wurden überprüft 171618 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 171616 Dateien ohne Befall 6675 Archive wurden durchsucht 0 Warnungen 6 Hinweise 183377 Objekte wurden beim Rootkitscan durchsucht 513 Versteckte Objekte wurden gefunden Malwarebytes zeigte folgende Ergebnisse auf (2 Log-files Vollständig und Quick): Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Datenbank Version: 6894 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 19.06.2011 13:01:36 mbam-log-2011-06-19 (13-01-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 161502 Laufzeit: 17 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully. Infizierte Dateien: c:\dokumente und einstellungen\Daniel\anwendungsdaten\Adobe\plugs\mmc3627125.txt (Rootkit.TDSS) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Daniel\anwendungsdaten\Sun\Java\deployment\cache\6.0\57\42b3fbb9-18d890dd (Trojan.Downloader) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Daniel\lokale einstellungen\Temp\0.012039646296074125.exe (Trojan.Downloader) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Daniel\lokale einstellungen\Temp\0.7235336854324869.exe (Trojan.Downloader) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Daniel\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Daniel\anwendungsdaten\Adobe\plugs\mmc212.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Datenbank Version: 6896 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 19.06.2011 17:53:44 mbam-log-2011-06-19 (17-53-44).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 137290 Laufzeit: 4 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Nun die hier vorgeschlagene Reihenfolge: OTL:OTL Logfile: Code:
ATTFilter OTL logfile created on: 19.06.2011 17:14:58 - Run 1 OTL by OldTimer - Version 3.2.24.1 Folder = C:\Dokumente und Einstellungen\Daniel\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1014,03 Mb Total Physical Memory | 558,16 Mb Available Physical Memory | 55,04% Memory free 2,38 Gb Paging File | 1,88 Gb Available in Paging File | 78,84% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 50,00 Gb Total Space | 42,54 Gb Free Space | 85,08% Space Free | Partition Type: NTFS Drive D: | 95,05 Gb Total Space | 94,97 Gb Free Space | 99,92% Space Free | Partition Type: NTFS Computer Name: DANIEL-PC | User Name: Daniel | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.06.19 12:46:18 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe PRC - [2011.05.29 09:11:28 | 000,449,584 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2011.03.28 16:15:17 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.03.28 16:14:56 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2011.03.28 16:14:56 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.02.26 14:03:50 | 000,315,392 | -H-- | M] (DeviceVM) -- C:\SPLASH.SYS\config\DVMExportService.exe PRC - [2009.02.12 21:48:02 | 002,310,144 | ---- | M] (LG Electronics Inc.) -- C:\Program Files\LG Software\Battery Miser\batterymiser.exe PRC - [2009.02.04 13:47:06 | 000,724,992 | ---- | M] (BIT LEADER) -- C:\Programme\lg_swupdate\Gilautouc.exe PRC - [2009.01.13 21:27:28 | 002,830,336 | ---- | M] (LG Electronics) -- C:\Programme\LG Software\On Screen Display\HotKey.exe PRC - [2008.12.01 09:45:10 | 000,532,480 | ---- | M] (Vimicro) -- C:\Programme\USB Camera\VM331_STI.EXE PRC - [2008.09.12 18:07:50 | 000,864,256 | ---- | M] (LG Electronics Inc.) -- C:\Programme\LG Software\LG Magnifier\MagnifyingGlass.exe PRC - [2008.09.12 15:01:28 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe PRC - [2008.09.12 15:01:24 | 000,182,808 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe PRC - [2008.09.12 11:45:04 | 001,056,768 | ---- | M] (LG Electronics Inc.) -- C:\Programme\LG Software\IP Operator\IP Operator.exe PRC - [2008.09.05 11:03:56 | 000,069,632 | ---- | M] (SRS Labs, Inc.) -- C:\Programme\SRS Labs\WOWHD and TSXT Driver\SRS_PostInstaller.exe PRC - [2008.09.05 11:03:48 | 000,241,664 | ---- | M] (SRS Labs, Inc.) -- C:\Programme\SRS Labs\WOWHD and TSXT Driver\SRSTrayApp.exe PRC - [2008.06.10 05:27:04 | 000,144,784 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre1.6.0_07\bin\jusched.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2011.06.19 12:46:18 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe MOD - [2008.10.10 10:46:22 | 000,035,840 | ---- | M] (LG Electronics Inc.) -- C:\Program Files\LG Software\Battery Miser\McIdle.dll MOD - [2008.04.14 14:00:00 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll MOD - [2008.04.14 14:00:00 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\mfc42loc.dll MOD - [2004.07.19 12:15:06 | 000,032,768 | ---- | M] (LG Electronics) -- C:\Programme\LG Software\On Screen Display\MgHookDll.dll MOD - [2001.11.21 18:48:40 | 000,995,383 | ---- | M] (Microsoft Corporation) -- C:\Programme\LG Software\On Screen Display\MFC42.DLL ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.03.28 16:14:56 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.02.26 14:03:50 | 000,315,392 | -H-- | M] (DeviceVM) [Auto | Running] -- C:\SPLASH.SYS\config\DVMExportService.exe -- (DvmMDES) SRV - [2008.09.12 15:01:28 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R) SRV - [2008.09.05 11:03:56 | 000,069,632 | ---- | M] (SRS Labs, Inc.) [Auto | Running] -- C:\Programme\SRS Labs\WOWHD and TSXT Driver\SRS_PostInstaller.exe -- (SRS_PostInstaller) ========== Driver Services (SafeList) ========== DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2011.04.01 17:07:25 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.04.01 17:07:25 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.03.09 10:39:46 | 000,997,888 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vm331avs.sys -- (vm331avs) DRV - [2009.02.03 10:22:00 | 005,030,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008.10.30 14:14:20 | 000,117,888 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2008.10.10 10:46:22 | 000,007,552 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lgsnd_filter.sys -- (lgsnd_filter) DRV - [2008.09.08 11:22:02 | 000,076,840 | R--- | M] (Ericsson AB) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2gps.sys -- (emc2gps) DRV - [2008.09.05 14:39:04 | 000,404,864 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2mdm2.sys -- (emc2mdm2) DRV - [2008.09.05 14:39:04 | 000,368,000 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2unic.sys -- (emc2unic) Ericsson F3507g WMC 1.0 Network Adapter (WDM) DRV - [2008.09.05 14:39:04 | 000,360,192 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2mdm.sys -- (emc2mdm) DRV - [2008.09.05 14:39:04 | 000,025,856 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2nd5.sys -- (emc2nd5) Ericsson F3507g WMC 1.0 Network Adapter (NDIS) DRV - [2008.09.05 14:39:04 | 000,014,976 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2mdfl2.sys -- (emc2mdfl2) DRV - [2008.09.05 14:39:04 | 000,014,976 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2mdfl.sys -- (emc2mdfl) DRV - [2008.09.05 14:39:02 | 000,351,488 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2card.sys -- (emc2card) DRV - [2008.09.05 14:39:02 | 000,276,352 | R--- | M] (MCCI Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2bus.sys -- (emc2bus) Ericsson F3507g WMC Composite Device driver (WDM) DRV - [2008.09.05 11:08:14 | 000,022,528 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WOWFilter.sys -- (wowfilter) DRV - [2008.08.22 11:25:14 | 000,308,608 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rtl8187Se.sys -- (rtl8187Se) DRV - [2008.08.07 15:23:22 | 000,024,104 | R--- | M] (Sony Ericsson) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emc2scard.sys -- (Sony_EricssonWWSC) DRV - [2008.08.05 13:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2008.04.03 18:38:40 | 000,015,232 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Ndisipo.sys -- (Ndisipo) DRV - [2006.01.04 08:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=LGEL&bmod=LGEL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=LGEL&bmod=LGEL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=LGEL&bmod=LGEL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.19 13:02:22 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.19 13:03:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Extensions [2011.06.19 13:02:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- [2011.04.14 18:40:03 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll [2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml [2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (Sun Microsystems, Inc.) O4 - HKLM..\Run: [331BigDog] C:\Programme\USB Camera\VM331_STI.EXE (Vimicro) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [batterymiser] C:\Program Files\LG Software\Battery Miser\batterymiser.exe (LG Electronics Inc.) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) O4 - HKLM..\Run: [IPO3] C:\Programme\LG Software\IP Operator\IP Operator.exe (LG Electronics Inc.) O4 - HKLM..\Run: [KeybdUtility] C:\Programme\LG Software\On Screen Display\HotKey.exe (LG Electronics) O4 - HKLM..\Run: [LG Intelligent Update] C:\Programme\lg_swupdate\autoupdate.exe (BIT LEADER) O4 - HKLM..\Run: [LG Magnifier] C:\Programme\LG Software\LG Magnifier\MagnifyingGlass.exe (LG Electronics Inc.) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_07\bin\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [zOSD] C:\Programme\LG Software\On Screen Display\HotKey.exe (LG Electronics) O4 - HKCU..\Run: [SRSTrayApp] C:\Programme\SRS Labs\WOWHD and TSXT Driver\SRSTrayApp.exe (SRS Labs, Inc.) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll (Sun Microsystems, Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\butterfly-1024_576_00120.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\butterfly-1024_576_00120.bmp O28 - HKLM ShellExecuteHooks: {26F5978F-6493-4ee3-B114-C0C3ACCF9D4D} - C:\WINDOWS\system32\bmpsap.dll () O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.03.19 16:41:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{97122de6-4b20-11de-be9a-000df0666963}\Shell - "" = Autorun O33 - MountPoints2\{97122de6-4b20-11de-be9a-000df0666963}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{97122de6-4b20-11de-be9a-000df0666963}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com e: O33 - MountPoints2\{97122de6-4b20-11de-be9a-000df0666963}\Shell\Open\command - "" = E:\resycled\ntldr.com e: O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: HidServ - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found CREATERESTOREPOINT Restore point Set: OTL Restore Point (17465059307421696) ========== Files/Folders - Created Within 30 Days ========== [2011.06.19 13:05:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Macromedia [2011.06.19 13:04:56 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2011.06.19 13:04:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Downloads [2011.06.19 13:02:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Mozilla [2011.06.19 13:02:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla [2011.06.19 13:02:21 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2011.06.19 12:48:30 | 009,435,312 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Daniel\Desktop\mbam-setup-1.51.0.1200.exe [2011.06.19 12:48:30 | 000,579,072 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe [2011.06.19 12:42:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Malwarebytes [2011.06.19 12:41:20 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.06.19 12:41:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.06.19 12:41:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.06.19 12:41:13 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.06.19 12:41:12 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.06.19 12:38:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2011.06.19 12:34:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Avira [2011.06.19 12:17:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2011.06.19 12:17:24 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2011.06.19 12:17:22 | 000,137,656 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011.06.19 12:17:22 | 000,061,960 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2011.06.19 12:17:22 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2011.06.19 12:17:22 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2011.06.19 12:17:21 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2011.06.19 12:17:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2011.06.19 12:16:52 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Daniel\UserData [2011.06.19 12:16:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock [2011.06.19 12:16:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun [2011.06.18 20:15:14 | 000,000,000 | ---D | C] -- C:\Program Files [2011.06.18 20:15:06 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Microsoft [2011.06.18 20:15:06 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Daniel\Cookies [2011.06.18 20:15:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Daniel\SendTo [2011.06.18 20:15:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Daniel\Recent [2011.06.18 20:15:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten [2011.06.18 20:15:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Zubehör [2011.06.18 20:15:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Daniel\Startmenü [2011.06.18 20:15:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Daniel\Favoriten [2011.06.18 20:15:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Eigene Musik [2011.06.18 20:15:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien [2011.06.18 20:15:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Eigene Bilder [2011.06.18 20:15:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Autostart [2011.06.18 20:15:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Daniel\Vorlagen [2011.06.18 20:15:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Daniel\Netzwerkumgebung [2011.06.18 20:15:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen [2011.06.18 20:15:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Daniel\Druckumgebung [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Youcam [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Sun [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SRSCPL [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\InstallShield [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Identities [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Ericsson [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Desktop [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\CyberLink YouCam [2011.06.18 20:15:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Adobe [2011.06.18 20:03:46 | 000,000,000 | -HSD | C] -- C:\System Volume Information [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.06.19 17:12:08 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\defogger_reenable [2011.06.19 17:11:32 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx [2011.06.19 14:20:43 | 000,000,061 | ---- | M] () -- C:\splash.idx [2011.06.19 13:34:55 | 000,000,935 | ---- | M] () -- C:\WINDOWS\lgcenter.ini [2011.06.19 13:34:35 | 000,008,767 | ---- | M] () -- C:\WINDOWS\lg_up.ini [2011.06.19 13:02:30 | 000,000,000 | ---- | M] () -- C:\WINDOWS\nsreg.dat [2011.06.19 13:02:24 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011.06.19 13:02:11 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\lybyim.sys [2011.06.19 12:47:53 | 001,110,476 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\7zip.exe [2011.06.19 12:47:05 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\gmer.exe [2011.06.19 12:46:18 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe [2011.06.19 12:45:17 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\Defogger.exe [2011.06.19 12:41:21 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.06.19 12:40:57 | 009,435,312 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Daniel\Desktop\mbam-setup-1.51.0.1200.exe [2011.06.19 12:37:28 | 000,405,692 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.06.19 12:37:28 | 000,392,630 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.06.19 12:37:28 | 000,070,976 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.06.19 12:37:28 | 000,058,930 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.06.19 12:33:04 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.06.19 12:32:59 | 1063,358,464 | -HS- | M] () -- C:\hiberfil.sys [2011.06.19 12:17:33 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2011.06.18 20:18:57 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\Windows Media Player.lnk [2011.06.18 20:14:56 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.06.18 20:14:50 | 000,000,135 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf [2011.06.18 20:14:48 | 000,000,211 | RHS- | M] () -- C:\boot.ini [2011.06.18 20:13:50 | 000,005,208 | ---- | M] () -- C:\WINDOWS\System32\pid.PNF [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.06.19 17:12:08 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\defogger_reenable [2011.06.19 14:20:43 | 000,000,061 | ---- | C] () -- C:\splash.idx [2011.06.19 13:02:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2011.06.19 13:02:24 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk [2011.06.19 13:02:24 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011.06.19 13:02:11 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\lybyim.sys [2011.06.19 12:48:31 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\Defogger.exe [2011.06.19 12:47:51 | 001,110,476 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\7zip.exe [2011.06.19 12:47:05 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\gmer.exe [2011.06.19 12:41:21 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.06.19 12:17:32 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2011.06.18 20:18:57 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\Windows Media Player.lnk [2011.06.18 20:15:14 | 000,348,160 | ---- | C] () -- C:\WINDOWS\System32\bmpsap.dll [2011.06.18 20:15:14 | 000,007,552 | ---- | C] () -- C:\WINDOWS\System32\drivers\lgsnd_filter.sys [2011.06.18 20:15:06 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Remoteunterstützung.lnk [2011.06.18 20:15:06 | 000,000,768 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Windows Media Player.lnk [2011.06.18 20:15:06 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Internet Explorer.lnk [2011.06.18 20:15:06 | 000,000,742 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\CyberLink YouCam.lnk [2011.06.18 20:15:06 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Outlook Express.lnk [2011.06.18 20:01:45 | 1063,358,464 | -HS- | C] () -- C:\hiberfil.sys [2009.03.20 08:37:56 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2009.03.19 17:10:17 | 000,008,767 | ---- | C] () -- C:\WINDOWS\lg_up.ini [2009.03.19 17:07:13 | 000,000,935 | ---- | C] () -- C:\WINDOWS\lgcenter.ini [2009.03.19 16:57:00 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll [2009.03.19 16:43:31 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2009.03.19 16:39:32 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2009.03.19 16:35:53 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.03.19 16:35:09 | 000,107,808 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009.03.19 16:28:39 | 000,000,524 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2009.03.19 16:28:35 | 000,405,692 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2009.03.19 16:28:35 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2009.03.19 16:28:35 | 000,070,976 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2009.03.19 16:28:35 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2009.03.19 16:28:29 | 000,392,630 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2009.03.19 16:28:29 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2009.03.19 16:28:29 | 000,058,930 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2009.03.19 16:28:29 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2009.03.19 16:28:29 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2009.03.19 16:28:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2009.03.19 16:28:28 | 000,004,502 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2009.03.19 16:28:27 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2009.03.19 16:28:25 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2009.03.19 16:28:25 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2009.03.19 16:28:24 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2009.03.19 16:28:22 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2009.03.10 23:15:27 | 000,001,239 | ---- | C] () -- C:\WINDOWS\vm331Rmv.ini [2008.12.09 17:23:13 | 000,047,104 | RHS- | C] () -- C:\WINDOWS\System32\appconf32.exe [2008.09.05 11:08:14 | 000,022,528 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWFilter.sys [2008.09.05 11:08:12 | 000,044,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys ========== LOP Check ========== [2009.05.28 02:50:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ericsson [2009.03.19 17:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp [2009.04.15 12:58:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Ericsson [2009.03.19 17:05:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SRSCPL ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.06.18 20:15:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2009.03.19 17:34:30 | 000,000,000 | ---D | M] -- C:\DRIVERS [2009.04.15 12:55:18 | 000,000,000 | -H-D | M] -- C:\dvmexp [2009.03.19 16:54:23 | 000,000,000 | ---D | M] -- C:\Intel [2011.06.18 20:15:14 | 000,000,000 | ---D | M] -- C:\Program Files [2011.06.19 13:02:21 | 000,000,000 | R--D | M] -- C:\Programme [2011.06.19 13:04:56 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.06.19 14:32:27 | 000,000,000 | -H-D | M] -- C:\SPLASH.000 [2009.04.15 12:55:21 | 000,000,000 | -H-D | M] -- C:\SPLASH.SYS [2011.06.18 20:14:50 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2009.04.15 12:55:19 | 000,000,000 | -H-D | M] -- C:\temp [2011.06.19 13:34:16 | 000,000,000 | ---D | M] -- C:\WINDOWS < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: REGEDIT.EXE > [2008.04.14 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\I386\REGEDIT.EXE [2008.04.14 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > < End of report > Extras:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 19.06.2011 17:14:58 - Run 1
OTL by OldTimer - Version 3.2.24.1 Folder = C:\Dokumente und Einstellungen\Daniel\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1014,03 Mb Total Physical Memory | 558,16 Mb Available Physical Memory | 55,04% Memory free
2,38 Gb Paging File | 1,88 Gb Available in Paging File | 78,84% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50,00 Gb Total Space | 42,54 Gb Free Space | 85,08% Space Free | Partition Type: NTFS
Drive D: | 95,05 Gb Total Space | 94,97 Gb Free Space | 99,92% Space Free | Partition Type: NTFS
Computer Name: DANIEL-PC | User Name: Daniel | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2614583C-9235-49AE-BDFD-24E642FB63C0}" = Ericsson F3507g Wireless Module
"{28F39401-7ED4-43D7-AE2D-DBA4368BE3A8}" = WOW HD and TSXT Filter Driver
"{2B3ADDDE-6841-4D5B-A655-CFB6C832430B}" = IP Operator
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7EC19307-7C22-47A8-922B-3FA965291260}" = OpenOffice.org 3.0
"{7F7AE0A7-D2DF-44A0-BD20-33C53710FBAF}" = LG Magnifier
"{81717D01-32F6-449C-85E1-41AFD678E545}" = LG Intelligent Update
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{943D9211-567E-4DD1-83AD-9A25A6FB0E92}" = Ericsson Wireless Manager
"{AC73C2D7-D10C-40F5-AD67-3E957EE9B6BC}" = On Screen Display
"{ADE16A9D-FBDC-4ecc-B6BD-9C31E51D0332}" = FS13FF-183
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CC4FA43B-BE54-48AF-8B62-D0C00E2D1D15}" = LG Smart Recovery
"{D4EEC21C-04F0-4CF4-8078-82C11E38EF11}" = REALTEK RTL8187SE Wireless LAN Driver
"{E55C8F84-160B-41FA-9D41-6210801C0C24}" = Battery Miser
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FCF7655B-62C3-4C16-A12D-CC84B33493FB}" = LG Smart On
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.0.1200
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 19.06.2011 06:53:12 | Computer Name = DANIEL-PC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
[ System Events ]
Error - 19.06.2011 05:25:14 | Computer Name = DANIEL-PC | Source = PlugPlayManager | ID = 12
Description = Das Gerät "Realtek RTL8187SE Wireless LAN PCIE Network Adapter" (PCI\VEN_10EC&DEV_8199&SUBSYS_819910EC&REV_22\4&2803e7c1&0&00E2)
wurde ohne vorbereitende Maßnahmen vom System entfernt.
Error - 19.06.2011 05:28:02 | Computer Name = DANIEL-PC | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 19.06.2011 05:28:02 | Computer Name = DANIEL-PC | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 19.06.2011 06:14:07 | Computer Name = DANIEL-PC | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst stisvc.
Error - 19.06.2011 06:16:57 | Computer Name = DANIEL-PC | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.MFC" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.
Error - 19.06.2011 06:16:57 | Computer Name = DANIEL-PC | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.MFC fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .
Error - 19.06.2011 06:16:57 | Computer Name = DANIEL-PC | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\DOKUME~1\Daniel\LOKALE~1\Temp\RarSFX0\redist.dll
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .
Error - 19.06.2011 06:36:22 | Computer Name = DANIEL-PC | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 19.06.2011 06:36:22 | Computer Name = DANIEL-PC | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
< End of report >
GMER: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-19 17:45:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\iaStor0 WDC_WD16 rev.11.0
Running: gmer.exe; Driver: C:\DOKUME~1\Daniel\LOKALE~1\Temp\uwlyrpod.sys
---- System - GMER 1.0.15 ----
SSDT F7C125FE ZwCreateKey
SSDT F7C125F4 ZwCreateThread
SSDT F7C12603 ZwDeleteKey
SSDT F7C1260D ZwDeleteValueKey
SSDT F7C12612 ZwLoadKey
SSDT F7C125E0 ZwOpenProcess
SSDT F7C125E5 ZwOpenThread
SSDT F7C1261C ZwReplaceKey
SSDT F7C12617 ZwRestoreKey
SSDT F7C12608 ZwSetValueKey
INT 0xA3 \WINDOWS\system32\KDCOM.DLL (Kernel Debugger HW Extension DLL/Microsoft Corporation) 85ACAE54
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\lgsnd_filter.sys entry point in "init" section [0xF7AE04C6]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[588] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00CE000A
.text C:\WINDOWS\Explorer.EXE[588] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00CF000A
.text C:\WINDOWS\Explorer.EXE[588] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00CD000C
.text C:\WINDOWS\Explorer.EXE[588] kernel32.dll!VirtualFreeEx + 44 7C809BD6 1 Byte [40]
.text C:\WINDOWS\System32\svchost.exe[1636] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 007F000A
.text C:\WINDOWS\System32\svchost.exe[1636] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0080000A
.text C:\WINDOWS\System32\svchost.exe[1636] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 007E000C
.text C:\WINDOWS\System32\svchost.exe[1636] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 019B000A
.text C:\WINDOWS\System32\svchost.exe[1636] USER32.dll!WindowFromPoint 7E379766 5 Bytes JMP 019C000A
.text C:\WINDOWS\System32\svchost.exe[1636] USER32.dll!GetForegroundWindow 7E379823 5 Bytes JMP 01A5000A
.text C:\WINDOWS\System32\svchost.exe[1636] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 019A000A
.text C:\Programme\LG Software\IP Operator\IP Operator.exe[1744] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00D6000A
.text C:\Programme\LG Software\IP Operator\IP Operator.exe[1744] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00D7000A
.text C:\Programme\LG Software\IP Operator\IP Operator.exe[1744] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00D5000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
---- Threads - GMER 1.0.15 ----
Thread System [4:924] A9FD54A0
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df0666963
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df066d484
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df06a57f9
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000df0666963 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000df066d484 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000df06a57f9 (not active ControlSet)
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 TDL4@MBR code has been found <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior
---- EOF - GMER 1.0.15 ----
Geändert von dan_mond (19.06.2011 um 18:37 Uhr) |
| Themen zu Bootsektorvirus BOO/TDss.M in beiden Laufwerken und TR/Trash.Gen nach Wiederherst. von Netbook |
| 0x00000001, assembly, boo/tdss.a, boo/tdss.d, boo/tdss.m, bootsektorvirus, c:\windows\system32\rundll32.exe, device driver, dllhost.exe, hijack.userinit, malware.trace, masterbootsektor, masterbootsektor hd0, mbamservice.exe, nt.dll, ntdll.dll, plug-in, rarsfx0, rootkit.tdss, searchplugins, shell32.dll, shortcut, stolen.data, tr/trash.gen, trash.gen, trojan.agent.ge, trojan.agent.gen, trojan.banker, trojan.downloader |
Baum-Darstellung