Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Mediashifting / WinXP / SP3

Mediashifting / WinXP / SP3


Plagegeister aller Art und deren Bekämpfung: Mediashifting / WinXP / SP3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.01.2012, 00:45   #1
Depo
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


Hallo liebe Forummitglieder,

Ich habe ein großes Problem mit diesem "Mediashifting.com" Virus.
Meine bisherigen Schritte:
- Alle Passwörter geändert (hatte schon Angriffe auf mein Email Account)
- AntiVir hat die ein und andere Datei gelöscht
- ich kann keine Neuinstallation durchführen, da mein CD laufwerk defekt ist.
- sicherung von persölichen Datein (Musik, Bilder, etc.)

Symtome:
Beim Start von Firefox verlinkung zur Mediashifting Page. 95p Meldung von Antivir.


Ich habe leider keine Erfahrung mit den genannten Tools aus referenztreads in diesem Forum.

Ich hoffe Ihr könnt mir helfen, da ich ziemlich ratlos bin.

Vielen vielen Dank schonmal.
Grüße

Alt 26.01.2012, 01:36   #2
Depo
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 26.01.2012 01:28:05 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Dennis Potter\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,57 Gb Available Physical Memory | 78,57% Memory free
3,85 Gb Paging File | 3,48 Gb Available in Paging File | 90,61% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 2,00 Gb Free Space | 5,12% Space Free | Partition Type: NTFS
Drive E: | 97,65 Gb Total Space | 48,51 Gb Free Space | 49,67% Space Free | Partition Type: NTFS
Drive F: | 96,16 Gb Total Space | 55,76 Gb Free Space | 57,99% Space Free | Partition Type: NTFS
 
Computer Name: DENNIS-LAP | User Name: Dennis Potter | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Dennis Potter\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - E:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - E:\Programme\AirPort\APAgent.exe (Apple Inc.)
PRC - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll ()
MOD - E:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\WINDOWS\system32\vpnapi.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (CVPND) -- E:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (libusb0) -- C:\WINDOWS\system32\drivers\libusb0.sys (libusb-Win32)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (jumi) -- C:\WINDOWS\system32\drivers\jumi.sys (Windows (R) Win 7 DDK provider)
DRV - (Netaapl) -- C:\WINDOWS\system32\drivers\netaapl.sys (Apple Inc.)
DRV - (NETw5x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw5x32.sys (Intel Corporation)
DRV - (avgio) -- E:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider)
DRV - (NSNDIS5) -- C:\WINDOWS\system32\nsndis5.sys (Printing Communications Assoc., Inc. (PCAUSA))
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {1acd747e-8470-11db-96a9-00e08161165f}:6.2.1.1
FF - prefs.js..extensions.enabledItems: amin.eft_Shutdown@gmail.com:3.6.2D
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.6.0.8442
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 56889
FF - prefs.js..network.proxy.type: 1
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: E:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: E:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: E:\Programme\Mozilla Firefox\components [2012.01.17 08:59:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: E:\Programme\Mozilla Firefox\plugins [2012.01.12 19:59:56 | 000,000,000 | ---D | M]
 
[2010.06.15 14:05:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Mozilla\Extensions
[2012.01.18 12:03:07 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Mozilla\Firefox\Profiles\2qrqw1kx.default\extensions
[2012.01.18 12:03:07 | 000,000,000 | ---D | M] (Tradesignal Online Chart) -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Mozilla\Firefox\Profiles\2qrqw1kx.default\extensions\{1acd747e-8470-11db-96a9-00e08161165f}
[2010.09.21 08:20:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Mozilla\Firefox\Profiles\2qrqw1kx.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.02 09:23:38 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Mozilla\Firefox\Profiles\2qrqw1kx.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.06.20 21:19:15 | 000,000,000 | ---D | M] (Auto Shutdown) -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Mozilla\Firefox\Profiles\2qrqw1kx.default\extensions\amin.eft_Shutdown@gmail.com
 
========== Chrome  ==========
 
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AirPort Base Station Agent] E:\Programme\AirPort\APAgent.exe (Apple Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKCU..\Run: [{E5CE4573-27EE-2F70-ADC4-F9F5A4DD0CB2}] C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Deq\ynildis.exe (Корпорация Майкрософт)
O4 - HKCU..\Run: [AdobeBridge]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - Unable to open key or key not present!
O32 - AutoRun File - [2010.06.15 12:52:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.26 01:25:32 | 010,847,608 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\mbam-setup-1.60.0.1800.exe
[2012.01.26 01:17:03 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\OTL.exe
[2012.01.25 09:42:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2012.01.23 22:06:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun
[2012.01.23 21:44:02 | 000,000,000 | ---D | C] -- C:\Programme\EB967
[2012.01.23 21:43:25 | 000,000,000 | ---D | C] -- C:\Programme\LP
[2012.01.23 21:43:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\BCEEB
[2012.01.23 21:43:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Anwendungsdaten\b6a15aa0
[2012.01.17 13:00:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Unternehmensgründung
[2012.01.16 22:31:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Xyqy
[2012.01.16 22:31:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Deq
[2012.01.15 00:06:24 | 000,000,000 | ---D | C] -- C:\Programme\CS 1.6 LAN Version
[2012.01.12 20:00:35 | 000,414,368 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.26 01:25:32 | 010,847,608 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\mbam-setup-1.60.0.1800.exe
[2012.01.26 01:19:31 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\MBRCheck.exe
[2012.01.26 01:17:10 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\OTL.exe
[2012.01.26 01:13:57 | 000,045,378 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.01.26 01:13:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.01.26 00:04:59 | 000,095,744 | ---- | M] () -- C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.01.25 13:58:30 | 000,423,585 | ---- | M] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Sicherungskopie von Dipl.wbk
[2012.01.25 09:36:47 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_log_trash.cmd
[2012.01.25 09:36:46 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.01.23 22:06:17 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.01.21 19:47:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2012.01.19 22:04:20 | 000,002,503 | ---- | M] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Microsoft Office Word 2007.lnk
[2012.01.19 21:36:18 | 001,274,585 | ---- | M] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Money For Nothing - Dire Straits.m4r
[2012.01.12 20:00:35 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012.01.12 19:59:56 | 000,001,590 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2012.01.11 23:27:17 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.01.10 12:08:57 | 000,016,939 | ---- | M] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Sicherungskopie von BPS-Bericht.wbk
[2012.01.01 23:35:11 | 000,459,818 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.01.01 23:35:11 | 000,441,880 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.01.01 23:35:11 | 000,085,144 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.01.01 23:35:11 | 000,071,816 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.12.31 16:52:50 | 000,630,871 | ---- | M] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Ringtone-1.m4r
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.01.26 01:19:30 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\MBRCheck.exe
[2012.01.23 21:44:32 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\System32\dds_log_trash.cmd
[2012.01.19 21:36:14 | 001,274,585 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Money For Nothing - Dire Straits.m4r
[2012.01.12 19:59:56 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk
[2012.01.12 19:59:56 | 000,001,590 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2012.01.10 10:32:42 | 000,016,939 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Sicherungskopie von BPS-Bericht.wbk
[2012.01.09 16:44:05 | 000,423,585 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Sicherungskopie von Dipl.wbk
[2012.01.05 15:30:26 | 000,158,653 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Iphone 19.05.11 020.jpg
[2012.01.05 14:47:55 | 002,831,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\IMGP1726.JPG
[2012.01.05 14:43:11 | 002,878,217 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\IMGP1569.JPG
[2011.12.31 16:52:50 | 000,630,871 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Desktop\Ringtone-1.m4r
[2011.12.29 19:33:36 | 000,002,043 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AirPort-Dienstprogramm.lnk
[2011.04.07 21:12:52 | 000,028,144 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.10.24 13:08:04 | 000,011,264 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.23 17:14:38 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.06.21 21:34:19 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\winscp.rnd
[2010.06.21 17:15:50 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.06.19 17:20:40 | 000,095,744 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.15 14:05:19 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.06.15 13:46:18 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.06.15 13:45:11 | 003,457,736 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.15 13:07:07 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2010.06.15 13:07:07 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2010.06.15 13:05:26 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2010.06.15 13:05:26 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2010.06.15 13:05:26 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2010.06.15 13:05:26 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2010.06.15 13:05:26 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2010.06.15 13:05:26 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2010.06.15 13:05:25 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2010.06.15 13:05:25 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2010.06.15 13:01:45 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.06.15 12:58:49 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.06.15 12:55:12 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2010.06.15 12:49:50 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.08.29 12:58:26 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2008.08.29 12:58:16 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2004.08.04 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 13:00:00 | 000,459,818 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 13:00:00 | 000,441,880 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 13:00:00 | 000,085,144 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 13:00:00 | 000,071,816 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.07.30 10:48:28 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003.07.30 09:49:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.03.30 21:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll

< End of report >
--- --- ---
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 26.01.2012 01:28:05 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Dennis Potter\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,57 Gb Available Physical Memory | 78,57% Memory free
3,85 Gb Paging File | 3,48 Gb Available in Paging File | 90,61% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 2,00 Gb Free Space | 5,12% Space Free | Partition Type: NTFS
Drive E: | 97,65 Gb Total Space | 48,51 Gb Free Space | 49,67% Space Free | Partition Type: NTFS
Drive F: | 96,16 Gb Total Space | 55,76 Gb Free Space | 57,99% Space Free | Partition Type: NTFS
 
Computer Name: DENNIS-LAP | User Name: Dennis Potter | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- E:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1"
https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1"
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "E:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "E:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"5353:UDP" = 5353:UDP:*:Enabled:Bonjour
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"E:\Programme\AirPort\APAgent.exe" = E:\Programme\AirPort\APAgent.exe:*:Enabled:AirPort -- (Apple Inc.)
"E:\Programme\AirPort\APUtil.exe" = E:\Programme\AirPort\APUtil.exe:*:Enabled:AirPort Utility -- (Apple Inc.)
"C:\WINDOWS\system32\dplaysvr.exe" = C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper -- (Microsoft Corporation)
"E:\Age of Empires II\age2_x1\age2_x1.exe" = E:\Age of Empires II\age2_x1\age2_x1.exe:*:Enabled:Age of Empires II Expansion -- (Microsoft Corporation)
"E:\Age of Empires II\empires2.exe" = E:\Age of Empires II\empires2.exe:*:Enabled:Age of Empires II -- (Microsoft Corporation)
"F:\CS 1.6 LAN Version\hl.exe" = F:\CS 1.6 LAN Version\hl.exe:*:Enabled:Half-Life Launcher
"C:\Programme\CS 1.6 LAN Version\hl.exe" = C:\Programme\CS 1.6 LAN Version\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{09266808-537A-43C1-8B4D-D411169F1E3B}" = Garmin Training Center
"{0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}" = Adobe Community Help
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{3127F76D-5335-4AC7-BD1E-2F5247A23C24}" = iTunes
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{40184457-4514-4B18-84A8-6BB8A3AB6A81}" = AirPort
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}" = Cisco Systems VPN Client 5.0.04.0300
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{5B48A8D9-D1AD-4424-BD4D-E462737099DF}" = SportTracks 3.0
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{65F9E1F3-A2C1-4AA9-9F33-A3AEB0255F0E}" = Garmin USB Drivers
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.0 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{DE3A9DC5-9A5D-6485-9662-347162C7E4CA}" = Adobe Media Player
"{E6FA148F-1E7D-4A42-A9A2-7DFABC2C6A2B}" = SportTracks 2.1
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"49CF605F02C7954F4E139D18828DE298CD59217C" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (06/03/2009 2.3.0.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BBAD1A7054D7B16ED03E62627C123F5CBA70A4E7" = Windows Driver Package - Intel (NETw3x32) net  (09/27/2006 10.5.1.68)
"Bridge Building Game" = Bridge Building Game
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"D16AA00FE65B9D2C6E0A57F54400303BF3259CC3" = Windows Driver Package - Intel (w29n51) net  (06/26/2006 9.0.4.17)
"DivX Setup.divx.com" = DivX-Setup
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.11.923
"Handbrake" = Handbrake 0.9.4
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"IrfanView" = IrfanView (remove only)
"KaloMa_is1" = KaloMa 4.76
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 9.0.1 (x86 de)" = Mozilla Firefox 9.0.1 (x86 de)
"MP Navigator 3.0" = Canon MP Navigator 3.0
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Network Stumbler" = Network Stumbler 0.4.0 (remove only)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.5
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"pdfsam" = pdfsam
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 25.01.2012 12:19:18 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = ERROR: handle_resolve_request bad interfaceIndex 21
 
Error - 25.01.2012 12:19:18 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = ERROR: handle_resolve_request bad interfaceIndex 22
 
Error - 25.01.2012 12:19:18 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = ERROR: handle_resolve_request bad interfaceIndex 23
 
Error - 25.01.2012 12:19:18 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = ERROR: handle_resolve_request bad interfaceIndex 24
 
Error - 25.01.2012 15:55:45 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 25.01.2012 15:55:45 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 2031
 
Error - 25.01.2012 15:55:45 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 2031
 
Error - 25.01.2012 15:55:47 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 25.01.2012 15:58:22 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 4094
 
Error - 25.01.2012 15:58:22 | Computer Name = DENNIS-LAP | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 4094
 
[ OSession Events ]
Error - 30.06.2010 04:45:30 | Computer Name = DENNIS-LAP | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6535.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 2148
 seconds with 1680 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 25.01.2012 19:17:46 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:46 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 25.01.2012 19:17:47 | Computer Name = DENNIS-LAP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
 
< End of report >
--- --- ---
__________________
Alt 26.01.2012, 01:48   #3
Depo
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


Malwarebytes Anti-Malware (Test) 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.01.25.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Dennis Potter :: DENNIS-LAP [Administrator]

Schutz: Aktiviert

26.01.2012 01:42:19
mbam-log-2012-01-26 (01-42-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 167033
Laufzeit: 3 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{E5CE4573-27EE-2F70-ADC4-F9F5A4DD0CB2} (Trojan.FakeMS) -> Daten: "C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Deq\ynildis.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\Deq\ynildis.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\BCEEB\4F324.exe (Trojan.Downloader.BH) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\dpc_srv_webcast.dll (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Temp\tmp7917c49a\241.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
__________________
Alt 26.01.2012, 01:53   #4
Depo
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000034

Kernel Drivers (total 116):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xBA0A8000 naxq.sys
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0B8000 isapnp.sys
0xBA0C8000 ohci1394.sys
0xBA0D8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0E8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA330000 PartMgr.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA0F8000 VolSnap.sys
0xB9F30000 atapi.sys
0xB9E5A000 iaStor.sys
0xBA108000 disk.sys
0xBA118000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9E3A000 fltmgr.sys
0xB9E28000 sr.sys
0xB9E11000 KSecDD.sys
0xB9D84000 Ntfs.sys
0xB9D57000 NDIS.sys
0xB9D3D000 Mup.sys
0xBA308000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9CF5000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB8B63000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB8B4F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9CA0000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB8B27000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB8720000 \SystemRoot\system32\DRIVERS\NETw5x32.sys
0xBA388000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB86FC000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA390000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA318000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB86E8000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xBA138000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA398000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA3A0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB86CA000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xBA5D6000 \SystemRoot\system32\DRIVERS\jumi.sys
0xBA158000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBA3A8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA73A000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA168000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB9C98000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB86B3000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA178000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA188000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA3B0000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB86A2000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA198000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA3B8000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA3C0000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5D8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB867F000 \SystemRoot\system32\DRIVERS\ks.sys
0xB8621000 \SystemRoot\system32\DRIVERS\update.sys
0xB9C90000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB79E8000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB79E4000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB4B6A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAD733000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAD70F000 \SystemRoot\system32\drivers\portcls.sys
0xAEC68000 \SystemRoot\system32\drivers\drmk.sys
0xAEC28000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA60C000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA60E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xAE572000 \SystemRoot\System32\Drivers\Null.SYS
0xBA610000 \SystemRoot\System32\Drivers\Beep.SYS
0xAE319000 \SystemRoot\System32\drivers\vga.sys
0xBA612000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA614000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xAE311000 \SystemRoot\System32\Drivers\Msfs.SYS
0xAE309000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAE377000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAD6DC000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAD683000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAD65D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAD635000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAE63E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAD613000 \SystemRoot\System32\drivers\afd.sys
0xAE62E000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE61E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAE301000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAD5E8000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAD578000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAE5FE000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA616000 \??\E:\Programme\Avira\AntiVir Desktop\avgio.sys
0xADD19000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xAD4A2000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB5FD0000 \SystemRoot\System32\drivers\Dxapi.sys
0xADB85000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xB496C000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF3D9000 \SystemRoot\System32\ATMFD.DLL
0xACB42000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xBA594000 \??\C:\WINDOWS\system32\drivers\mbam.sys
0xB0D3A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAC2C5000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAC210000 \SystemRoot\system32\drivers\wdmaud.sys
0xBA2D8000 \SystemRoot\system32\drivers\sysaudio.sys
0xAC040000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xABFE8000 \SystemRoot\system32\DRIVERS\srv.sys
0xABBE7000 \SystemRoot\System32\Drivers\HTTP.sys
0xABA36000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
1108 C:\WINDOWS\system32\smss.exe
1220 csrss.exe
1248 C:\WINDOWS\system32\winlogon.exe
1292 C:\WINDOWS\system32\services.exe
1304 C:\WINDOWS\system32\lsass.exe
1472 C:\WINDOWS\system32\svchost.exe
1560 svchost.exe
1600 C:\WINDOWS\system32\svchost.exe
1752 svchost.exe
1780 svchost.exe
296 C:\WINDOWS\system32\spoolsv.exe
404 E:\Programme\Avira\AntiVir Desktop\sched.exe
456 C:\WINDOWS\explorer.exe
500 svchost.exe
588 E:\Programme\Avira\AntiVir Desktop\avguard.exe
608 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
624 C:\Programme\Bonjour\mDNSResponder.exe
688 E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
712 E:\Programme\Avira\AntiVir Desktop\avshadow.exe
812 C:\Programme\Java\jre6\bin\jqs.exe
856 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
1132 C:\WINDOWS\system32\nvsvc32.exe
1196 C:\WINDOWS\system32\svchost.exe
1844 C:\WINDOWS\system32\wuauclt.exe
760 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1308 C:\WINDOWS\system32\wscntfy.exe
1512 alg.exe
2124 wmiprvse.exe
2716 wmiprvse.exe
2752 C:\WINDOWS\RTHDCPL.exe
2800 E:\Programme\Avira\AntiVir Desktop\avgnt.exe
2808 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2844 E:\Programme\iTunes\iTunesHelper.exe
2920 E:\Programme\AirPort\APAgent.exe
3016 E:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
3044 C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
3180 C:\WINDOWS\system32\ctfmon.exe
3200 C:\Programme\Messenger\msmsgs.exe
3416 unsecapp.exe
3640 C:\Programme\iPod\bin\iPodService.exe
592 C:\Dokumente und Einstellungen\Dennis Potter\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000009`c3dcd400 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000022`2dc26c00 (NTFS)

PhysicalDrive0 Model Number: WDCWD2500BEKT-00A25T0, Rev: 01.01A01

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Alt 26.01.2012, 09:01   #5
Depo
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


Malwarebytes Anti-Malware (Test) 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.01.25.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Dennis Potter :: DENNIS-LAP [Administrator]

Schutz: Aktiviert

26.01.2012 01:54:40
mbam-log-2012-01-26 (01-54-40).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 285305
Laufzeit: 46 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\Dokumente und Einstellungen\Dennis Potter\Lokale Einstellungen\Anwendungsdaten\b6a15aa0\X (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7KGAZZP5\setup[1].exe (Trojan.FakeVLC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\EB967\lvvm.exe (Trojan.Downloader.BH) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\LP\24EB\30D.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\LP\24EB\3D.tmp (Trojan.Downloader.BH) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{14C22FD4-1490-4E9B-92DB-B60ED82CBBF0}\RP243\A0061789.exe (Trojan.Downloader.BH) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{14C22FD4-1490-4E9B-92DB-B60ED82CBBF0}\RP243\A0061793.exe (Trojan.Downloader.BH) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{14C22FD4-1490-4E9B-92DB-B60ED82CBBF0}\RP244\A0061847.ini (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{14C22FD4-1490-4E9B-92DB-B60ED82CBBF0}\RP244\A0062847.ini (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\System Volume Information\_restore{14C22FD4-1490-4E9B-92DB-B60ED82CBBF0}\RP245\A0062888.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Habe nochmal nen vollständigen Scan über Nacht laufen lassen. Was kann ich nun tun?


Alt 27.01.2012, 14:11   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
--> Mediashifting / WinXP / SP3

Alt 27.01.2012, 18:36   #7
Depo
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ac9547c9b2446d44a8fc54a8544e378d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-27 05:03:07
# local_time=2012-01-27 06:03:07 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775145 100 93 445524 64216489 936019 0
# compatibility_mode=8192 67108863 100 0 3922 3922 0 0
# scanned=133293
# found=4
# cleaned=0
# scan_time=4155
C:\Dokumente und Einstellungen\Dennis Potter\Anwendungsdaten\OpenCandy\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MFIZLV3Q\edf41be76993ace4da7a819040e9d4ea[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OQSQXH2M\index[2].htm JS/Kryptik.GH trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q5G9QHSV\index[2].htm JS/Kryptik.GH trojan (unable to clean) 00000000000000000000000000000000 I

Alt 29.01.2012, 17:59   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mediashifting / WinXP / SP3 - Standard

Mediashifting / WinXP / SP3


Du hast offensichtlich einen ZeroAccess drauf, der ist immer ungemütlich.
Ich würde dir erstmal für den Fall der Fälle eine Datensicherung empfehlen und dich darauf vorzubereiten, eine komplette Neuinstallation von Windows durchzuführen, den ZA kann man nämlich nicht immer per Bereinigung entfernen!

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)


Wenn du dir sicher bist, dass du auch alle Daten unter Linux gesichert hast, führst du mal Combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Mediashifting / WinXP / SP3
account, andere, angriffe, antivir, bilder, datei, defekt, email, email account, erfahrung, firefox, geändert, großes, hoffe, laufwerk, mediashift p95, mediashifting, mediashifting.com, meldung, musik, neuinstallation, passwörter, problem, ratlos, sicherung, sp3, start, tools, trojaner, winxp


« Bundespolizei-Trojaner eingefangen | Internetgeschwindigkeit plötzlich sehr langsam »


Ähnliche Themen: Mediashifting / WinXP / SP3


  1. WinXP SP3 Malware - Virenscanner usw. lassen sich nicht installieren! Dualbootsystem WinXP/Win7
    Log-Analyse und Auswertung - 13.12.2013 (15)
  2. mediashifting.com Virus / TR
    Plagegeister aller Art und deren Bekämpfung - 22.02.2012 (18)
  3. mediashifting.com problem
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (2)
  4. mediashifting.com Problem
    Log-Analyse und Auswertung - 23.01.2012 (26)
  5. Mediashifting.com mit TR/Sirefef.J.637
    Plagegeister aller Art und deren Bekämpfung - 23.01.2012 (34)
  6. Problem mit Mediashifting
    Plagegeister aller Art und deren Bekämpfung - 21.01.2012 (12)
  7. Mediashifting-Problem -mediashifting.com/?search=A123&subid=73&key=aa72a328fb1b718e9e62&p=1
    Plagegeister aller Art und deren Bekämpfung - 17.01.2012 (13)
  8. Mediashifting p95
    Log-Analyse und Auswertung - 11.01.2012 (1)
  9. mediashifting.com / 95p.com
    Plagegeister aller Art und deren Bekämpfung - 10.01.2012 (2)
  10. 95p.com/mediashifting.com
    Log-Analyse und Auswertung - 04.01.2012 (18)
  11. mediashifting.com und OTL
    Log-Analyse und Auswertung - 04.01.2012 (8)
  12. 95p.com/mediashifting
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (9)
  13. mediashifting 95p ...
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (7)
  14. Mediashifting/p95 - Automatisches Öffnen von mediashifting.com+kein Öffnen von Suchergebniss möglich
    Plagegeister aller Art und deren Bekämpfung - 29.12.2011 (8)
  15. 95p.com & mediashifting.com Trojaner
    Log-Analyse und Auswertung - 29.12.2011 (2)
  16. mediashifting
    Log-Analyse und Auswertung - 29.12.2011 (10)
  17. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Mediashifting / WinXP / SP3 - Hallo liebe Forummitglieder, Ich habe ein großes Problem mit diesem "Mediashifting.com" Virus. Meine bisherigen Schritte: - Alle Passwörter geändert (hatte schon Angriffe auf mein Email Account) - AntiVir hat die - Mediashifting / WinXP / SP3...
Archiv
Du betrachtest: Mediashifting / WinXP / SP3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131