drive-by Infektion

popeye2 · 06.02.2012, 22:16

Moin, diesmal hats meinen Privatrechner erwischt:
Browser schließt sich, trojaner fake alert öffnet sich und fährt nach etwa 1 Minute den Rechner runter. Dann Reboot Endlosschleife.
PC im abgesicherten Modus gestartet und MBAM drübergelassen. 14 Infektionen entfernt.

Code:

ATTFilter

Datenbank Version: v2012.02.06.01

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
whw :: WOLFI [Administrator]

06.02.2012 08:20:31
mbam-log-2012-02-06 (08-20-31).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 359426
Laufzeit: 25 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 13
D:\Dokumente und Einstellungen\All Users\oai4szz4hk.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\53.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\yr0.2454877279474008.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\yr0.8905098614885456.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\~!#4.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\whw\Lokale Einstellungen\Temp\~!#52.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0054796.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0054798.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\7.tmp (Trojan.FakeAlert.FS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\hdgfsh.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\kcdzw.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\_ex-68.exe (Trojan.Agent.PE5) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\bqyggs\setup.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Dann Registry (unter services den Schlüssel gptd.sys exportiert und gelöscht (dieser Dienst startete nicht mehr)
Im Windos eventlog noch diverse rote Kreuze, aber windows bootet wieder.
Zeitweise kein Zugriff auf google.
Netzwerktraffic gesnifft mit wireshark, ca 45MB http get's in 12 Minuten. Sieht nach verborgenem adware-Trojaner aus.
MBAM findet nix mehr.
GMER meint was zu finden
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-06 21:10:41
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16 WDC_WD3200BEVT-63ZCT0 rev.11.01A11
Running: 4qd8ibvh.exe; Driver: D:\DOKUME~1\whw\LOKALE~1\Temp\pxtdqpob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text    atapi.sys                                                                                                                       B9F10852 1 Byte  [CC] {INT 3 }
?        D:\WINDOWS\system32\DRIVERS\mrxsmb.sys                                                                                          suspicious PE modification

---- User code sections - GMER 1.0.15 ----

.text    D:\WINDOWS\System32\svchost.exe[1184] ntdll.dll!NtProtectVirtualMemory                                                          7C91D6EE 5 Bytes  JMP 015E000A 
.text    D:\WINDOWS\System32\svchost.exe[1184] ntdll.dll!NtWriteVirtualMemory                                                            7C91DFAE 5 Bytes  JMP 015F000A 
.text    D:\WINDOWS\System32\svchost.exe[1184] ntdll.dll!KiUserExceptionDispatcher                                                       7C91E47C 5 Bytes  JMP 015D000C 
?        D:\WINDOWS\System32\svchost.exe[1184] D:\WINDOWS\System32\smss.exe                                                              image checksum mismatch; time/date stamp mismatch; 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtCreateProcess                                                                    7C91D14E 5 Bytes  JMP 00BA000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtCreateProcessEx                                                                  7C91D15E 5 Bytes  JMP 00BB000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtProtectVirtualMemory                                                             7C91D6EE 5 Bytes  JMP 00A5000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!NtWriteVirtualMemory                                                               7C91DFAE 5 Bytes  JMP 00A6000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ntdll.dll!KiUserExceptionDispatcher                                                          7C91E47C 5 Bytes  JMP 00A4000C 
.text    D:\WINDOWS\System32\ping.exe[2804] USER32.dll!GetCursorPos                                                                      7E37974E 5 Bytes  JMP 00BE000A 
.text    D:\WINDOWS\System32\ping.exe[2804] USER32.dll!WindowFromPoint                                                                   7E379766 5 Bytes  JMP 00BF000A 
.text    D:\WINDOWS\System32\ping.exe[2804] USER32.dll!GetForegroundWindow                                                               7E379823 5 Bytes  JMP 00C0000A 
.text    D:\WINDOWS\System32\ping.exe[2804] ole32.dll!CoCreateInstance                                                                   774CF1BC 5 Bytes  JMP 00BD000A 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalAllocateCommonBuffer]                                                        32726472
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!WRITE_PORT_ULONG]                                                               6264725C
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalGetBusDataByOffset]                                                          735C7373
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalGetInterruptVector]                                                          6D2E626D
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!IoFlushAdapterBuffers]                                                          735C7872
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalAssignSlotResources]                                                         6563626D
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalStartProfileInterrupt]                                                       632E6264
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalDisplayString]                                                               90900000
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalRequestIpi]                                                                  8B909090
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalGetEnvironmentVariable]                                                      EC8B55FF
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalSetTimeIncrement]                                                            FC658351
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalSetRealTimeClock]                                                            57565300
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!CTESignal]                                                                      56A90E2F
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterNetAddress]                                                        F65815FF
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterProvider]                                                          3D8BA90D
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiRegisterPnPHandlers]                                                         [A912B208] \SystemRoot\system32\DRIVERS\mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiBuildNetbiosAddressEa]                                                       B208FF81
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterNetAddress]                                                        1E75A912
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!CTEInitString]                                                                  15FFCE8B
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiBuildNetbiosAddress]                                                         [A90DF654] \SystemRoot\system32\DRIVERS\mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterAddressChangeHandler]                                              5FFC458B
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiDeregisterDeviceObject]                                                      C2C95B5E
IAT      \SystemRoot\system32\DRIVERS\mrxsmb.sys[tdi.sys!TdiCopyMdlToBuffer]                                                             3F8B000C

---- User IAT/EAT - GMER 1.0.15 ----

IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtTerminateProcess]                             83EC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRaiseHardError]                               458D74EC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitUnicodeString]                           15FF50F8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAdjustPrivilege]                             [029AF014] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeHeap]                                    01FC7531
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUpcaseUnicodeChar]                           458DF875
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToInteger]                      15FF508C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateHeap]                                [029AF004] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeUnicodeString]                           458D086A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrintEx]                                     458D50F8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExtendedIntegerMultiply]                     15FF508C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVolumeInformationFile]                   [029AF000] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenFile]                                     508C458D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtClose]                                        F00815FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcslen]                                         458B029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscpy]                                         E84533E4
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationProcess]                      33EC4533
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePagingFile]                             C3C9F045
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationFile]                           8BEC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationFile]                         EC833040
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrint]                                       57565314
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySystemInformation]                       D98B388B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_allmul]                                        EB04708D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSecurityObject]                            46B70F20
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetOwnerSecurityDescriptor]                  30448D1A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetDaclSecurityDescriptor]                   F0F0681C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAddAccessAllowedAce]                         4F50029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateAcl]                                   00DCAFE8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateSecurityDescriptor]                    85595900
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateAndInitializeSid]                    811374C0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosPathNameToNtPathName_U]                   00011CC6
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExpandEnvironmentStrings_U]                  75FF8500
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryValueKey]                                5FC033DC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!swprintf]                                       C2C95B5E
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenKey]                                      468B0008
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetValueKey]                                  F4458908
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateKey]                                    8B0C468B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateFile]                                   45890473
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReadFile]                                     74F685F0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_chkstk]                                        D8BB8D77
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsstr]                                         57000000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsupr]                                        9B015068
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtMakeTemporaryObject]                          8D426A02
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSymbolicLinkObject]                     4E50FC45
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenDirectoryObject]                          F0E015FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsncpy]                                        C085029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAnsiStringToUnicodeString]                   458D537C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitAnsiString]                              046A50EC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_stricmp]                                       50F8458D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSection]                                75FF096A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrVerifyImageMatchesChecksum]                  DC15FFFC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateDirectoryObject]                        85029AF0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetEnvironmentVariable]                      8B317CC0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrUnloadDll]                                   452BF845
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrGetProcedureAddress]                         F0453BF4
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitString]                                  [006A2673] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrLoadDll]                                     FFFC75FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCompareUnicodeString]                        9AF0D415
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualString]                                 7CC08502
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!memmove]                                        0C4D8B17
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsicmp]                                       1F8B018B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUnicodeString]                         8908558B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosSearchPath_U]                             5F8BC21C
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryEnvironmentVariable_U]                  C25C8904
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualUnicodeString]                          01894004
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeToString]                       FFFC75FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeStringToString]                 9AF0D815
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForSingleObject]                          40C78302
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtResumeThread]                                 8F75F685
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDestroyProcessParameters]                    E940C033
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserProcess]                           FFFFFF67
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateProcessParameters]                     51EC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnlockBootStatusData]                        0173A051
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetSetBootStatusData]                        5653029B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLockBootStatusData]                          C0BE0F57
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDisplayString]                                7D89FF33
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!sprintf]                                        DC2AE8F8
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDuplicateObject]                              DC8B0000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLengthSid]                                   45C7F633
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetAce]                                      001000FC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlPrefixUnicodeString]                         FC458B00
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySymbolicLinkObject]                      0F73F83B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenSymbolicLinkObject]                       11E8C72B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryDirectoryObject]                         8B0000DC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRequestWaitReplyPort]                         2BC38BF4
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFindMessage]                                 8DF88BC6
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetEvent]                                     5750FC45
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSystemInformation]                         FF056A56
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateEvent]                                  9AF0D015
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLeaveCriticalSection]                        00043D02
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEnterCriticalSection]                        D574C000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscat]                                         047DC085
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrQueryImageFileExecutionOptions]              60EBC033
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDelayExecution]                               F003C033
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtInitializeRegistry]                           468D016A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryRegistryValues]                         18685038
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDeleteValueKey]                               FF029AF1
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateEnvironment]                           9AF0CC15
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserThread]                            75C08402
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePort]                                   85068B08
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitializeCriticalSection]                   EBE375C0
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationProcess]                        [68006A3C] D:\WINDOWS\System32\rsaenh.dll (Microsoft Enhanced Cryptographic Provider/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateTagHeap]                               00040000
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationThread]                         F07415FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationToken]                        F88B029A
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenThreadToken]                              2974FF85
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtImpersonateClientOfPort]                      FF016A57
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtConnectPort]                                  15FF4476
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCompleteConnectPort]                          [029AF020] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAcceptConnectPort]                            127CC085
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcess]                                  8B0C75FF
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyWaitReceivePort]                         0875FFCE
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExitUserThread]                              81E8C78B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyPort]                                    89FFFFFE
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetThreadIsCritical]                         FF57F845
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForMultipleObjects]                       9AF02415
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetProcessIsCritical]                        F8458B02
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToAnsiString]                   5FEC658D
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAdjustPrivilegesToken]                        C2C95B5E
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcessToken]                             8B550008
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnhandledExceptionFilter]                    3CEC81EC
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnwind]                                      56000002
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVirtualMemory]                           E856F08B
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgBreakPoint]                                  0000DB36
IAT      D:\WINDOWS\System32\svchost.exe[1184] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlNormalizeProcessParams]                      [00803D59] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Cdfs \Cdfs                                                                                                          DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Modules - GMER 1.0.15 ----

Module   (noname) (*** hidden *** )                                                                                                      A9133000-A914D000 (106496 bytes)                                                                             

---- Threads - GMER 1.0.15 ----

Thread   System [4:132]                                                                                                                  83E2C39F
Thread   System [4:396]                                                                                                                  83DF30F4

---- Processes - GMER 1.0.15 ----

Process  D:\WINDOWS\System32\ping.exe (*** hidden *** )                                                                                  2804                                                                                                         

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                                
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                             0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                          0x31 0x1D 0x8E 0xE9 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                            
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                                 0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                              0x31 0x1D 0x8E 0xE9 ...
Reg      HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}                                                                    
Reg      HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}@                                                                   0xB9 0xB5 0x0C 0xE1 ...
Reg      HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}                                                                    
Reg      HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}@                                                                   0xA3 0x54 0xEB 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}                                                                    
Reg      HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}@                                                                   0x18 0xA4 0xDA 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}                                                                    
Reg      HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}@                                                                   0xD5 0xBA 0x90 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}                                                                    
Reg      HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}@                                                                   0x1D 0x82 0x57 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}                                                                    
Reg      HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}@                                                                   0x15 0x0E 0x07 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}                                                                    
Reg      HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}@                                                                   0xA3 0x71 0x06 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}                                                                    
Reg      HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}@                                                                   0x1A 0x30 0xA6 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}                                                                    
Reg      HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}@                                                                   0xD7 0x0C 0x26 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}                                                                    
Reg      HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}@                                                                   0x2F 0x6F 0x44 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}                                                                    
Reg      HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}@                                                                   0x93 0x84 0x19 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}@                                                                   0xA3 0x1A 0xB5 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}@                                                                   0x30 0x91 0xC7 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}@                                                                   0x8B 0x67 0xFE 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}                                                                    
Reg      HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}@                                                                   0x9D 0xBE 0x33 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}                                                                    
Reg      HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}@                                                                   0x4B 0xD0 0x65 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}                                                                    
Reg      HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}@                                                                   0x02 0x43 0xB9 0xE0 ...

---- Files - GMER 1.0.15 ----

File     D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VW536B8W\result[2].php  0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346                                                                                      0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\@                                                                                    2048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\cfg.ini                                                                              168 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\Desktop.ini                                                                          4608 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\L                                                                                    0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\L\uonarkpi                                                                           456320 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\oemid                                                                                4 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U                                                                                    0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000001.@                                                                         2048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000002.@                                                                         224768 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000004.@                                                                         1024 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000000.@                                                                         66048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000004.@                                                                         12800 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000032.@                                                                         73216 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\version                                                                              862 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\3000371874                                                                                      0 bytes

---- EOF - GMER 1.0.15 ----

--- --- ---

und auch aswMBR scheint noch was zu finden

Code:

ATTFilter

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-06 21:50:08
-----------------------------
21:50:08.559    OS Version: Windows 5.1.2600 Service Pack 3
21:50:08.559    Number of processors: 2 586 0xF0B
21:50:08.559    ComputerName: WOLFI  UserName: whw
21:50:09.043    Initialize success
21:52:43.952    AVAST engine defs: 12020601
21:53:00.561    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16
21:53:00.561    Disk 0 Vendor: WDC_WD3200BEVT-63ZCT0 11.01A11 Size: 305245MB BusType: 3
21:53:00.671    Disk 0 MBR read successfully
21:53:00.671    Disk 0 MBR scan
21:53:00.686    Disk 0 Windows XP default MBR code
21:53:00.718    Disk 0 Partition 1 80 (A) 06        FAT16 MSDOS5.0      502 MB offset 63
21:53:00.718    Disk 0 Partition - 00     0F Extended LBA            152115 MB offset 1028160
21:53:00.780    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        39997 MB offset 1028223
21:53:00.780    Disk 0 Partition - 00     05     Extended               517 MB offset 82943595
21:53:00.843    Disk 0 Partition 3 00     82   Linux swap               517 MB offset 82943658
21:53:00.858    Disk 0 Partition - 00     05     Extended             10009 MB offset 165919320
21:53:00.905    Disk 0 Partition 4 00     83        Linux             10009 MB offset 84003948
21:53:00.905    Disk 0 Partition - 00     05     Extended              2047 MB offset 187478550
21:53:01.343    Disk 0 Partition 5 00     06        FAT16              2047 MB offset 104502888
21:53:01.343    Disk 0 Partition - 00     05     Extended             10009 MB offset 212170455
21:53:01.530    Disk 0 Partition 6 00     07    HPFS/NTFS NTFS        10009 MB offset 108695853
21:53:01.530    Disk 0 Partition - 00     05     Extended             10009 MB offset 236862360
21:53:01.608    Disk 0 Partition 7 00     07    HPFS/NTFS NTFS        10009 MB offset 129194793
21:53:01.608    Disk 0 Partition - 00     05     Extended             20002 MB offset 277860240
21:53:01.655    Disk 0 Partition 8 00     07    HPFS/NTFS NTFS        20002 MB offset 149693733
21:53:01.655    Disk 0 Partition - 00     05     Extended             20002 MB offset 339324930
21:53:01.733    Disk 0 Partition 9 00     07    HPFS/NTFS NTFS        20002 MB offset 190659483
21:53:01.780    Disk 0 scanning sectors +312560640
21:53:02.061    Disk 0 scanning D:\WINDOWS\system32\drivers
21:53:24.624    File: D:\WINDOWS\system32\drivers\mrxsmb.sys  **INFECTED** Win32:Smadow [Rtk]
21:53:49.500    Disk 0 trace - called modules:
21:53:49.531    ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xa9136ff0]<<
21:53:49.531    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x83f58ab8]
21:53:49.531    3 CLASSPNP.SYS[ba0f8fd7] -> nt!IofCallDriver -> [0x837926c8]
21:53:49.531    \Driver\00000843[0x8389ee30] -> IRP_MJ_CREATE -> 0xa9136ff0
21:53:50.047    AVAST engine scan D:\WINDOWS
21:54:34.328    AVAST engine scan D:\WINDOWS\system32
22:03:01.403    AVAST engine scan D:\WINDOWS\system32\drivers
22:03:25.607    File: D:\WINDOWS\system32\drivers\mrxsmb.sys  **INFECTED** Win32:Smadow [Rtk]
22:04:01.530    AVAST engine scan D:\Dokumente und Einstellungen\whw
22:08:08.711    Disk 0 MBR has been saved successfully to "D:\Dokumente und Einstellungen\whw\Desktop\MBR.dat"
22:08:08.711    The log file has been saved successfully to "D:\Dokumente und Einstellungen\whw\Desktop\aswMBR.txt"

Bevor ich was kaputt mach frag ich lieber die Experten

ach ja: vermutlich java exploit: was ich aus den Browserlogs (seamonkey 1.1.19) <ja ich weiß> und java logs gesehen habe, wurde 6 Sekunden nach dem letzten Aufruf einer dt. Shopping website der JRE geladen , und etwa 2 Minuten später fuhr dann der Browser runter (war inzwischen im Heise Forum)
Kann die verdächtige URL gerne per PM schicken.

kira · 07.02.2012, 08:46

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Zitat:

Arbeite die Punkte im normalen Modus ab!

1.
TDSSKiller von Kaspersky

Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
deaktiviere vorübergehend dein AntiVirus-Programm
Starte die TDSSKiller.exe durch Doppelklick.
Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
Bestätige das ggfs. mit Y(es).
Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

2.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

per Doppelklick starten.
gleich mal die Datenbanken zu aktualisieren - online updaten
Vollständiger Suchlauf wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

3.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

4.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ Sprache → Deutsch auswählen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

popeye2 · 07.02.2012, 10:02

Hallo Kira,
vielen Dank vorab für die schnelle Hilfestellung!
Seit gestern abend hat sich einiges getan:
-Rechner bootet wieder nur im abgesicherten Modus.
-MBAM hat heute 18 Schädlinge entfernt (darunter den vupx.on1, Ransom, fake.alert und spy.eyes ).
Sicherheitshalber habe ich den Rechner vom Netzwerk getrennt und lasse ihn heute tagsüber durchlaufen
Damit entfällt momentan das herunterladen von zusätzlicher sw, da wie gesagt offline und wegen abgesichertem Modus kein USB-Laufwerk möglich.
Soll ich das Netzwerk vorübergehend wieder aktivieren?
otl,mbam, und GMER hab ich schon auf dem Rechner.
Bin im Büro und kann abends die logs machen und senden

kira · 07.02.2012, 18:16

im normalen Modus kannst (noch immer) nicht mit dem PC arbeiten? Somit fällt Punkt 1 ja weg (TDSSKiller)

alle andere Schritte (2. bis 4.) kannst erstmal dort auch erledigen.
Alle Protokolle von Malwarebytes bitte posten!

Zitat:

Soll ich das Netzwerk vorübergehend wieder aktivieren?

warten wir noch damit

popeye2 · 07.02.2012, 20:13

Hi Kira
war kurz online
schreibe hier von einem 2.rechner
tdss hat 2 Objekte gefunden.
ACPI.sys (virus.win32.rloader.a)
MRxSmb.sys (virus.win32.ZAccess.l)
welche Zeilen interessieren dich noch vom log, dann tippe ich sie ab. ?
momentan (nach reboot) läuft mbam-quick. windoof bootete wieder.
ergebnis: exploit.drop.2
werde das mal cleanen und dann tdss noch mal durchlaufen lassen:
Ergebnis virus.win32.ZAccess.c (object netbt.sys ) (im log steht suspicious file, falsche md5 signatur)
update
tdss findet wiederholt nach reboot den letzteren Virus
gmer bemerkt dass ein treiber fehlt (92547261.sys) und meldet weiterhin ein hidden module
sowie 2 verdächtige dateien (mrxsmb.sys und smss.exe)

kira · 08.02.2012, 08:44

Zitat:

welche Zeilen interessieren dich noch vom log, dann tippe ich sie ab. ?

?? das Ganze Protokoll bitte mir posten!!

Zitat:

momentan (nach reboot) läuft mbam-quick. windoof bootete wieder.

habe NICHT "Quick" Scan emfohlen!

Zitat:

tdss findet wiederholt nach reboot den letzteren Virus

habe empfohlen es 2x laufen lassen?

Zitat:

wie ich hier exakt beschrieben habe, bitte auch genauso vorgehen!:-> http://www.trojaner-board.de/109267-...tml#post766958

sonst wird es lange deuern, bis wir (wenn schon) dein Rechner hinzukriegen...:

Zitat:

win32.ZAccess

da würde ich an Deiner Stelle das System gleich neu installieren, da die Bekämpfung diese neue Art der Infektion fast unmöglich ist. Genau gesagt, nur mit div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können

popeye2 · 08.02.2012, 11:35

Hi,
sorry wenn ich nicht genau nach Schema vorgegangen bin.
habe nun wieder Normalen Windowszugang, hier mal der log von heute morgen
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 08.02.2012 06:58:27 - Run 2
OTL by OldTimer - Version 3.2.31.0     Folder = D:\mnt\source
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,97 Gb Total Physical Memory | 2,63 Gb Available Physical Memory | 88,45% Memory free
4,91 Gb Paging File | 4,65 Gb Available in Paging File | 94,69% Paging File free
Paging file location(s): D:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 501,73 Mb Total Space | 68,54 Mb Free Space | 13,66% Space Free | Partition Type: FAT
Drive D: | 39,06 Gb Total Space | 7,55 Gb Free Space | 19,33% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 7 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.02.06 22:36:09 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\mnt\source\OTL.exe
PRC - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) -- D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.06.23 23:40:36 | 000,077,824 | ---- | M] (Avid Technology, Inc..) -- D:\Programme\Digidesign\Drivers\MMERefresh.exe
PRC - [2010.06.21 18:23:10 | 001,923,592 | ---- | M] (M-Audio) -- D:\Programme\M-Audio\MobilePre\AudioDevMon.exe
PRC - [2010.06.17 20:56:44 | 000,370,176 | ---- | M] (shbox.de) -- D:\Programme\FreePDF_XP\fpassist.exe
PRC - [2009.06.18 08:29:12 | 000,635,416 | ---- | M] (PDF Complete Inc) -- D:\Programme\PDF Complete\pdfsvc.exe
PRC - [2008.09.01 08:43:40 | 000,241,136 | ---- | M] () -- D:\Programme\NTP\bin\ntpd.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\explorer.exe
PRC - [2002.10.30 16:09:50 | 000,073,728 | ---- | M] (Intel Corporation) -- D:\WINDOWS\system32\PROMon.exe
PRC - [2002.05.03 11:36:24 | 001,118,208 | ---- | M] (Intel Corporation) -- D:\WINDOWS\system32\NMSSvc.Exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.11.01 23:26:32 | 000,087,912 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2011.11.01 23:26:12 | 001,242,472 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2010.06.17 20:56:52 | 000,116,224 | ---- | M] () -- D:\WINDOWS\system32\redmonnt.dll
MOD - [2009.08.23 18:58:06 | 000,094,208 | ---- | M] () -- D:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll
MOD - [2007.10.26 08:04:40 | 000,068,080 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\DLLShared\dlaapi_w.dll
MOD - [2007.09.20 17:34:58 | 000,129,024 | ---- | M] () -- D:\Programme\WinRAR\RarExt.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - [2011.10.27 10:34:30 | 000,718,384 | ---- | M] (Nokia) [On_Demand | Stopped] -- D:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.06.23 23:40:36 | 000,077,824 | ---- | M] (Avid Technology, Inc..) [Auto | Running] -- D:\Programme\Digidesign\Drivers\MMERefresh.exe -- (DigiRefresh)
SRV - [2010.06.21 18:23:10 | 001,923,592 | ---- | M] (M-Audio) [Auto | Running] -- D:\Programme\M-Audio\MobilePre\AudioDevMon.exe -- (MobilePreIIAudioDevMon)
SRV - [2009.06.18 08:29:12 | 000,635,416 | ---- | M] (PDF Complete Inc) [Auto | Running] -- D:\Programme\PDF Complete\pdfsvc.exe -- (pdfcDispatcher)
SRV - [2008.10.24 14:35:44 | 000,128,296 | ---- | M] () [On_Demand | Stopped] -- D:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2008.09.01 08:43:40 | 000,241,136 | ---- | M] () [Auto | Running] -- D:\Programme\NTP\bin\ntpd.exe -- (NTP)
SRV - [2008.04.14 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- D:\WINDOWS\system32\s217mgmt.dll -- (symsecureport)
SRV - [2002.05.03 11:36:24 | 001,118,208 | ---- | M] (Intel Corporation) [Auto | Running] -- D:\WINDOWS\system32\NMSSvc.Exe -- (NMSSvc) Intel(R)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | Unknown | Running] --  -- (99112312)
DRV - File not found [File_System | Unknown | Running] --  -- (9796100drv)
DRV - [2011.08.17 13:03:58 | 000,137,472 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2011.08.17 13:03:50 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2011.08.17 12:56:32 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011.08.17 12:56:30 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011.08.17 12:56:26 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2011.08.17 09:56:22 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2011.03.18 12:46:26 | 000,061,704 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS)
DRV - [2011.03.18 12:46:10 | 000,073,096 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K)
DRV - [2011.02.11 22:23:34 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\npf.sys -- (npf)
DRV - [2010.12.18 12:03:56 | 000,021,696 | ---- | M] (Almico Software) [Kernel | Boot | Running] -- D:\WINDOWS\system32\speedfan.sys -- (speedfan)
DRV - [2010.06.21 18:23:00 | 000,454,792 | ---- | M] (M-Audio) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\MAudioMobilePreII.sys -- (MAUSBMOBILEPREII)
DRV - [2009.12.23 10:32:26 | 000,086,016 | ---- | M] (PACE Anti-Piracy, Inc.) [Kernel | Boot | Running] -- D:\WINDOWS\System32\drivers\TPkd.sys -- (TPkd)
DRV - [2009.11.19 13:33:20 | 000,051,200 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2009.09.18 13:32:06 | 000,045,184 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel(R)
DRV - [2008.08.26 10:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.07.23 10:31:38 | 000,044,800 | ---- | M] (Infineon Technologies AG) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\ifxtpm.sys -- (IFXTPM)
DRV - [2008.06.06 08:15:40 | 000,098,816 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\baspxp32.sys -- (Blfp)
DRV - [2008.04.14 13:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008.04.13 23:15:34 | 000,011,520 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\scsiscan.sys -- (scsiscan)
DRV - [2008.03.28 10:14:02 | 000,024,064 | ---- | M] (Sonic Focus, Inc) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\sfaudio.sys -- (SFAUDIO)
DRV - [2007.10.26 09:05:30 | 000,009,104 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLADResM.SYS -- (DLADResM)
DRV - [2007.10.26 09:04:58 | 000,037,360 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLABMFSM.SYS -- (DLABMFSM)
DRV - [2007.10.26 09:04:56 | 000,093,584 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2007.10.26 09:04:52 | 000,098,480 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2007.10.26 09:04:50 | 000,032,848 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2007.10.26 09:04:50 | 000,027,216 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2007.10.26 09:04:46 | 000,016,304 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2007.10.26 09:04:44 | 000,108,752 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2007.07.23 13:49:44 | 000,030,064 | ---- | M] (Roxio) [File_System | System | Running] -- D:\WINDOWS\system32\drivers\DLARTL_M.SYS -- (DLARTL_M)
DRV - [2007.07.23 13:49:44 | 000,014,576 | ---- | M] (Roxio) [Kernel | Boot | Running] -- D:\WINDOWS\System32\Drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2003.11.04 12:30:06 | 000,025,294 | ---- | M] (CANON INC.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CNMFWC.sys -- (CNMFWC)
DRV - [2003.10.24 01:07:38 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
DRV - [2002.05.03 11:36:44 | 000,009,868 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\NMSCFG.SYS -- (NMSCFG)
DRV - [1996.04.03 20:33:26 | 000,005,248 | ---- | M] () [Kernel | Boot | Running] -- D:\WINDOWS\system32\giveio.sys -- (giveio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0A 50 4E BB F9 E4 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.heise.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3
FF - prefs.js..extensions.enabledItems: elemhidehelper@adblockplus.org:1.1.4
FF - prefs.js..extensions.enabledItems: {dd3d7613-0246-469d-bc65-2a3cc1668adc}:0.7.1.1
FF - prefs.js..extensions.enabledItems: fsonlinescanner@f-secure.com:1.01
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.3.6
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.15.1
FF - prefs.js..extensions.enabledItems: 2020Player@2020Technologies.com:4.5.2.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: exif_viewer@mozilla.doslash.org:1.70
FF - prefs.js..extensions.enabledItems: {e968fc70-8f95-4ab9-9e79-304de2a71ee1}:0.7.3
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.6.0.8153
FF - prefs.js..extensions.enabledItems: 2020Player_IKEA@2020Technologies.com:5.0.7.0
FF - prefs.js..extensions.enabledItems: fe_3.6@nokia.com:1.7.56.205
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 81
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: D:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@innoplus.de/ino3DViewer: D:\Programme\innoplus\3D-Viewer-innoPlus\npIno3DViewer.dll (INNOVA-engineering GmbH Dresden)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: d:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: d:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: D:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: D:\Programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\fe_3.6@nokia.com: D:\Programme\Nokia\Nokia Suite\Connectors\Bookmarks Connector\FirefoxExtension_3.6 [2011.11.21 17:36:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Components: D:\Programme\Mozilla Firefox\components [2011.12.28 10:38:44 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2011.12.22 12:55:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\SeaMonkey 1.1.19\Extensions\\Components: D:\Programme\mozilla.org\SeaMonkey\Components [2011.07.02 10:54:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\SeaMonkey 1.1.19\Extensions\\Plugins: D:\Programme\mozilla.org\SeaMonkey\Plugins [2011.04.24 19:18:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\te_7.0@nokia.com: D:\Programme\Nokia\Nokia Suite\Connectors\Thunderbird Connector\ThunderbirdExtension_7.0 [2011.11.21 17:36:50 | 000,000,000 | ---D | M]
 
[2011.04.11 20:58:28 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2011.04.11 20:58:28 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{92650c4d-4b8e-4d2a-b7eb-24ecf4f6b63a}
[2012.02.03 20:58:57 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions
[2012.01.08 18:00:43 | 000,000,000 | ---D | M] (FlashGot) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2011.07.24 18:41:48 | 000,000,000 | ---D | M] (Flashblock) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
[2012.01.08 18:00:41 | 000,000,000 | ---D | M] (NoScript) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2012.01.08 18:00:42 | 000,000,000 | ---D | M] (Adblock Plus) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.04.11 20:58:25 | 000,000,000 | ---D | M] (BlockSite) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{dd3d7613-0246-469d-bc65-2a3cc1668adc}
[2011.07.02 09:44:17 | 000,000,000 | ---D | M] (User Agent Switcher) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1}
[2011.04.11 20:58:27 | 000,000,000 | ---D | M] (20-20 3D Viewer) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\2020Player@2020Technologies.com
[2011.09.22 18:05:27 | 000,000,000 | ---D | M] (20-20 3D Viewer - IKEA) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\2020Player_IKEA@2020Technologies.com
[2012.01.08 18:00:43 | 000,000,000 | ---D | M] (Element Hiding Helper for Adblock Plus) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\elemhidehelper@adblockplus.org
[2011.10.18 22:48:58 | 000,000,000 | ---D | M] ("Exif Viewer") -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\exif_viewer@mozilla.doslash.org
[2011.04.11 20:58:27 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\fsonlinescanner@f-secure.com
[2011.04.11 20:58:14 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\muc00653\psv2qcsl.slt\extensions
[2011.04.11 20:58:14 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\muc00653\psv2qcsl.slt\extensions\{3cd27e92-1a30-11da-94c6-00e08161165f}
[2012.02.03 21:08:53 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions
[2011.08.22 06:07:15 | 000,000,000 | ---D | M] (Click to call with Skype) -- D:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2011.04.06 22:37:05 | 000,000,000 | ---D | M] (Java Console) -- D:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.10.09 07:48:14 | 000,000,000 | ---D | M] (Java Quick Starter) -- D:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.11.21 17:36:50 | 000,000,000 | ---D | M] (Firefox Synchronisation Extension) -- D:\PROGRAMME\NOKIA\NOKIA SUITE\CONNECTORS\BOOKMARKS CONNECTOR\FIREFOXEXTENSION_3.6
[2012.01.23 13:24:32 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- D:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.04.11 21:08:03 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- D:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2009.12.18 01:31:54 | 000,063,488 | ---- | M] (Nullsoft) -- D:\Programme\mozilla firefox\plugins\npwachk.dll
[2011.09.13 19:08:08 | 000,001,392 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.13 19:08:08 | 000,002,344 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.13 19:08:08 | 000,006,805 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.13 19:08:08 | 000,001,178 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.13 19:08:08 | 000,001,105 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [APSDaemon] D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [DigidesignMMERefresh] D:\Programme\Digidesign\Drivers\MMERefresh.exe (Avid Technology, Inc..)
O4 - HKLM..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [PROMon.exe] D:\WINDOWS\System32\PROMon.exe (Intel Corporation)
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [Internet Security] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\isecurity.exe File not found
O4 - Startup: D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\_uninst_37767507.lnk = D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\_uninst_37767507.bat ()
O4 - Startup: D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\_uninst_79725127.lnk =  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - D:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{70F35C8C-A678-4D72-8BD6-3FC50C093773}: DhcpNameServer = 192.168.0.254
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\userinit.exe) -D:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.01.30 22:56:52 | 000,000,732 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT ]
O32 - AutoRun File - [2000.09.02 08:56:14 | 000,000,745 | ---- | M] () - C:\autoexec.bak -- [ FAT ]
O32 - AutoRun File - [2000.07.26 22:02:32 | 000,000,710 | ---- | M] () - C:\autoexec.dos -- [ FAT ]
O32 - AutoRun File - [2000.08.01 23:47:20 | 000,000,778 | ---- | M] () - C:\autoexec.pss -- [ FAT ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 7 Days ==========
 
[2012.02.08 06:55:07 | 000,000,000 | ---D | C] -- D:\WINDOWS\LastGood
[2012.02.07 19:57:48 | 000,000,000 | ---D | C] -- D:\TDSSKiller_Quarantine
[2012.02.07 19:53:17 | 002,060,336 | ---- | C] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\***\Desktop\TDSSKiller.exe
[2012.02.07 07:41:08 | 000,000,000 | ---D | C] -- D:\Programme\ESET
[2012.02.06 08:44:11 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2012.02.06 08:08:07 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2012.02.06 08:08:04 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[3 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 7 Days ==========
 
[2012.02.08 06:58:26 | 000,460,664 | ---- | M] () -- D:\WINDOWS\System32\perfh007.dat
[2012.02.08 06:58:26 | 000,442,602 | ---- | M] () -- D:\WINDOWS\System32\perfh009.dat
[2012.02.08 06:58:26 | 000,085,396 | ---- | M] () -- D:\WINDOWS\System32\perfc007.dat
[2012.02.08 06:58:26 | 000,071,868 | ---- | M] () -- D:\WINDOWS\System32\perfc009.dat
[2012.02.08 06:54:41 | 000,012,598 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl
[2012.02.08 06:54:38 | 000,001,080 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.02.08 06:54:09 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat
[2012.02.07 23:19:52 | 000,000,847 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\_uninst_37767507.lnk
[2012.02.07 22:54:10 | 000,001,084 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.02.07 22:06:52 | 000,000,847 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\_uninst_79725127.lnk
[2012.02.07 20:22:00 | 000,000,484 | ---- | M] () -- D:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2012.02.07 19:58:56 | 000,009,592 | ---- | M] () -- D:\WINDOWS\mozver.dat
[2012.02.07 15:15:44 | 002,060,336 | ---- | M] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\***\Desktop\TDSSKiller.exe
[2012.02.07 07:53:44 | 000,004,804 | ---- | M] () -- D:\WINDOWS\System32\d3d9caps.dat
[2012.02.07 07:01:29 | 000,000,000 | -HS- | M] () -- D:\WINDOWS\System32\dds_trash_log.cmd
[2012.02.06 22:08:08 | 000,000,512 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Desktop\MBR.dat
[2012.02.06 09:30:50 | 000,001,000 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\sptd.reg
[2012.02.06 07:59:06 | 000,000,756 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.02.06 07:51:42 | 006,157,039 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\history.rtf
[2012.02.06 07:16:36 | 000,064,013 | ---- | M] () -- D:\Dokumente und Einstellungen\***\.recently-used.xbel
[2012.02.02 16:00:05 | 000,000,424 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit Eigene Dateien.lnk
[3 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.02.07 23:19:52 | 000,000,847 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\_uninst_37767507.lnk
[2012.02.07 22:06:52 | 000,000,847 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\_uninst_79725127.lnk
[2012.02.06 22:08:08 | 000,000,512 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Desktop\MBR.dat
[2012.02.06 09:30:50 | 000,001,000 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\sptd.reg
[2012.02.06 07:59:06 | 000,000,756 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.02.06 07:51:42 | 006,157,039 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\history.rtf
[2012.02.06 07:36:56 | 000,000,000 | -HS- | C] () -- D:\WINDOWS\System32\dds_trash_log.cmd
[2012.02.06 07:16:36 | 000,064,013 | ---- | C] () -- D:\Dokumente und Einstellungen\***\.recently-used.xbel
[2012.02.02 16:00:05 | 000,000,424 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit Eigene Dateien.lnk
[2011.07.26 06:22:53 | 000,217,088 | ---- | C] () -- D:\WINDOWS\System32\qtmlClient.dll
[2011.07.18 18:50:53 | 000,003,776 | ---- | C] () -- D:\WINDOWS\System32\fxsperf.ini
[2011.06.23 09:10:39 | 000,000,002 | ---- | C] () -- D:\WINDOWS\tm.ini
[2011.06.14 21:51:09 | 000,044,544 | ---- | C] () -- D:\WINDOWS\System32\Gif89.dll
[2011.05.29 09:49:27 | 000,003,260 | ---- | C] () -- D:\WINDOWS\System32\d3d8caps.dat
[2011.05.08 12:10:42 | 000,004,804 | ---- | C] () -- D:\WINDOWS\System32\d3d9caps.dat
[2011.04.15 20:44:13 | 000,116,224 | ---- | C] () -- D:\WINDOWS\System32\redmonnt.dll
[2011.04.15 20:44:13 | 000,045,056 | ---- | C] () -- D:\WINDOWS\System32\unredmon.exe
[2011.04.13 06:14:45 | 000,000,064 | ---- | C] () -- D:\WINDOWS\System32\rp_stats.dat
[2011.04.13 06:14:45 | 000,000,044 | ---- | C] () -- D:\WINDOWS\System32\rp_rules.dat
[2011.04.12 19:48:30 | 000,000,054 | ---- | C] () -- D:\WINDOWS\setihome.ini
[2011.04.12 07:16:34 | 000,000,232 | ---- | C] () -- D:\WINDOWS\wininit.ini
[2011.04.12 07:07:21 | 000,007,680 | ---- | C] () -- D:\WINDOWS\System32\CNMVS5x.DLL
[2011.04.11 21:50:09 | 000,000,035 | ---- | C] () -- D:\WINDOWS\InfModM.ini
[2011.04.11 21:06:58 | 000,127,488 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.11 20:42:27 | 000,220,944 | ---- | C] () -- D:\WINDOWS\SeaMonkeyUninstall.exe
[2011.04.11 20:42:20 | 000,118,784 | ---- | C] () -- D:\WINDOWS\GREUninstall.exe
[2011.04.11 20:42:20 | 000,009,592 | ---- | C] () -- D:\WINDOWS\mozver.dat
[2011.04.06 05:35:14 | 000,147,456 | ---- | C] () -- D:\WINDOWS\System32\igfxCoIn_v5016.dll
[2011.04.05 20:44:10 | 000,000,335 | ---- | C] () -- D:\WINDOWS\nsreg.dat
[2011.04.05 20:01:59 | 000,004,161 | ---- | C] () -- D:\WINDOWS\ODBCINST.INI
[2011.04.05 20:00:45 | 000,144,424 | ---- | C] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.05 19:12:11 | 000,002,048 | --S- | C] () -- D:\WINDOWS\bootstat.dat
[2011.04.05 19:07:29 | 000,021,740 | ---- | C] () -- D:\WINDOWS\System32\emptyregdb.dat
[2011.02.11 22:23:34 | 000,053,299 | ---- | C] () -- D:\WINDOWS\System32\pthreadVC.dll
[2008.04.14 13:00:00 | 013,107,200 | ---- | C] () -- D:\WINDOWS\System32\oembios.bin
[2008.04.14 13:00:00 | 000,673,088 | ---- | C] () -- D:\WINDOWS\System32\mlang.dat
[2008.04.14 13:00:00 | 000,460,664 | ---- | C] () -- D:\WINDOWS\System32\perfh007.dat
[2008.04.14 13:00:00 | 000,442,602 | ---- | C] () -- D:\WINDOWS\System32\perfh009.dat
[2008.04.14 13:00:00 | 000,272,128 | ---- | C] () -- D:\WINDOWS\System32\perfi009.dat
[2008.04.14 13:00:00 | 000,269,480 | ---- | C] () -- D:\WINDOWS\System32\perfi007.dat
[2008.04.14 13:00:00 | 000,218,003 | ---- | C] () -- D:\WINDOWS\System32\dssec.dat
[2008.04.14 13:00:00 | 000,085,396 | ---- | C] () -- D:\WINDOWS\System32\perfc007.dat
[2008.04.14 13:00:00 | 000,071,868 | ---- | C] () -- D:\WINDOWS\System32\perfc009.dat
[2008.04.14 13:00:00 | 000,046,258 | ---- | C] () -- D:\WINDOWS\System32\mib.bin
[2008.04.14 13:00:00 | 000,034,478 | ---- | C] () -- D:\WINDOWS\System32\perfd007.dat
[2008.04.14 13:00:00 | 000,028,626 | ---- | C] () -- D:\WINDOWS\System32\perfd009.dat
[2008.04.14 13:00:00 | 000,004,569 | ---- | C] () -- D:\WINDOWS\System32\secupd.dat
[2008.04.14 13:00:00 | 000,004,461 | ---- | C] () -- D:\WINDOWS\System32\oembios.dat
[2008.04.14 13:00:00 | 000,001,804 | ---- | C] () -- D:\WINDOWS\System32\Dcache.bin
[2008.04.14 13:00:00 | 000,000,741 | ---- | C] () -- D:\WINDOWS\System32\noise.dat
[2002.03.26 07:36:48 | 000,069,632 | ---- | C] () -- D:\WINDOWS\System32\PROInst.dll
[2002.02.06 08:04:14 | 000,065,536 | ---- | C] () -- D:\WINDOWS\System32\NMSInst.dll
[1996.04.03 20:33:26 | 000,005,248 | ---- | C] () -- D:\WINDOWS\System32\giveio.sys
 
========== LOP Check ==========
 
[2011.04.12 06:03:04 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2011.04.11 21:46:27 | 000,000,000 | -H-D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anwendungsdaten
[2011.04.12 06:03:23 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2011.04.12 07:16:34 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonCP
[2011.04.15 20:44:12 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2011.04.24 21:34:58 | 000,000,000 | -HSD | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HHD Software Hex Editor 4
[2011.11.21 17:36:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
[2011.11.21 17:21:13 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache
[2011.07.26 06:53:45 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
[2011.04.28 20:29:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PassMark
[2011.11.21 17:38:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2012.02.04 06:46:14 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PDFC
[2012.01.22 11:03:58 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.04.11 20:58:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\AAV
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\ASAP Utilities
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\com.adobe.example.avatarAirApplication.199ED43C2CFEB351CD0244628B93195D7C58F98C.1
[2011.07.26 07:01:42 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Digidesign
[2011.12.03 21:23:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\ESBCalc
[2012.01.22 20:18:36 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
[2011.06.14 20:54:32 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Flash Undelete Software
[2011.11.17 21:52:58 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Foxit Software
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\FRISK Software
[2012.01.15 23:38:05 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\HSETU
[2011.04.11 20:58:45 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech
[2011.04.12 20:35:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\LibreOffice
[2011.04.11 20:58:28 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\MobileAction
[2011.11.21 17:43:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
[2011.11.21 17:43:09 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia Suite
[2011.07.26 06:53:45 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\PACE Anti-Piracy
[2011.04.11 20:55:37 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Suite
[2011.04.11 20:55:35 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Shareaza
[2011.04.11 20:55:28 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Wireshark
[2012.02.07 20:22:00 | 000,000,484 | ---- | M] () -- D:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 8380 bytes -> D:\Dokumente und Einstellungen\***\Eigene Dateien\Hausdach.JPG:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 7380 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Schwimmbeck Hausgeräte und Service GmbH.URL:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6368 bytes -> D:\Dokumente und Einstellungen\***\Desktop\antrag2005_fes_stand_08_05.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6296 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Einladung 45.Geburtstag.Geburtstag.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5496 bytes -> D:\Dokumente und Einstellungen\***\Desktop\SDIM1399.JPG:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 48 bytes -> D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت
@Alternate Data Stream - 4504 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Handbremsklötze Voyager.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4008 bytes -> D:\Dokumente und Einstellungen\***\Desktop\foerderrichtlinien_fes-1.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 16756 bytes -> D:\Dokumente und Einstellungen\***\Desktop\monitortest.bmp:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 13940 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Campingplatz Seewiese.URL:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 1223 bytes -> D:\Programme\WindowsUpdate:NsSJ8uSt7jjD6GiakbXGfKV0
@Alternate Data Stream - 1214 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:G7uOsGqLT9TlGjKNalsc9EQ
@Alternate Data Stream - 1183 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:UF6VKtLfbx5A1kiJvTaVPQ3
@Alternate Data Stream - 1167 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:6k2YZJXNQhlPMq91ookcrhdi0J6qq
@Alternate Data Stream - 1151 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:pOZIboR0l8kv9yYb30
@Alternate Data Stream - 1143 bytes -> D:\Programme\Outlook Express:OeAy2al2ITkF9gkTBhcREVEjTRJY
@Alternate Data Stream - 10504 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Whois.Net.URL:Q30lsldxJoudresxAaaqpcawXc

< End of report >

--- --- ---

und hier extra
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 06.02.2012 22:42:17 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = D:\mnt\source
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,97 Gb Total Physical Memory | 2,49 Gb Available Physical Memory | 83,78% Memory free
4,91 Gb Paging File | 4,54 Gb Available in Paging File | 92,54% Paging File free
Paging file location(s): D:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 501,73 Mb Total Space | 68,59 Mb Free Space | 13,67% Space Free | Partition Type: FAT
Drive D: | 39,06 Gb Total Space | 4,17 Gb Free Space | 10,69% Space Free | Partition Type: NTFS
 
Computer Name: **** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = MozillaHTML] -- D:\Programme\mozilla.org\SeaMonkey\seamonkey.exe (mozilla.org)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- D:\PROGRA~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
https [open] -- D:\PROGRA~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5900:TCP" = 5900:TCP:*:Enabled:vnc5900
"5800:TCP" = 5800:TCP:*:Enabled:vnc5800
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\UltraVNC\winvnc.exe" = D:\Programme\UltraVNC\winvnc.exe:*:Enabled:winvnc.exe -- (UltraVNC)
"D:\Programme\UltraVNC\vncviewer.exe" = D:\Programme\UltraVNC\vncviewer.exe:*:Enabled:vncviewer.exe -- (UltraVNC)
"D:\Programme\Shareaza\Shareaza.exe" = D:\Programme\Shareaza\Shareaza.exe:*:Enabled:Shareaza -- (Shareaza Development Team)
"D:\Programme\Google\Google Earth\client\googleearth.exe" = D:\Programme\Google\Google Earth\client\googleearth.exe:*:Disabled:Google Earth -- (Google)
"D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{18189552-78C0-11DF-AE5E-CBF1DED72085}" = M-Audio MobilePre Driver 1.0.4 (x86)
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{25613C10-27D2-410B-942B-D922D5C3A7BE}" = Interlok driver setup x32
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{2F4C24E6-CBD4-4AAC-B56F-C9FD44DE5668}" = Roxio Drag-to-Disc
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{371F27A1-9502-4762-AE97-1C1938B21055}" = Avid Pro Tools SE 8.0.3
"{55EB7967-5BB1-4EA2-8AFF-B2F9E487E553}" = PC Connectivity Solution
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6EC5D2BB-C70D-4A1E-9E0E-384568CA5E97}" = Intel(R) PRO Intelligent Installer
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7AAA00C4-26E6-4EC0-8069-955B0A9D6009}" = Intel(R) Network Connections 15.2.89.2
"{7BB045C3-D5E4-4620-B536-DC11AACD5942}" = Broadcom Management Programs
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89B078C4-50B0-453E-BF53-3A7E6A0D85FA}" = Windows Support Tools
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A367C28-423C-48E2-8C76-EBA1171F932A}" = Adobe Photoshop Album 2.0
"{91B323B5-A79C-4D23-BD6D-046C565F9BCF}" = MadOnion.com/3DMark2001 SE
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F5FD796-86F0-4360-85F8-D54C0F5411EB}" = Steuer-Spar-Erklärung 2011
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero - Burning Rom
"{A89131FD-3D18-4DA8-84C8-622423011B51}_is1" = ALNO AG  Küchenplaner
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{AF88496B-4BBA-4922-97E9-2582D3A28358}" = Nokia Connectivity Cable Driver
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Click to Call with Skype
"{B96DB037-DBEA-4186-9081-9CBD537F82E8}" = 3D-Viewer-innoplus
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1FCDCA1-2759-4E5E-84EE-3A665BB2F513}" = iPhoneBrowser
"{C9A87D86-FDFD-418B-BF96-EF09320973B3}" = PC Inspector smart recovery
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE518445-0054-44F8-8315-2AD45BF3701E}" = Raw Therapee V4.0.4.2 x86
"{D64833F8-860D-4216-8EDC-DD08AD68C0B5}" = LibreOffice 3.4
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{DB24A9E5-A068-43DD-88D0-B51BED3C0B99}" = Nokia Suite
"{DBBE5C26-72B7-4E01-950D-86BDE35918ED}" = Embedded Security for HP ProtectTools Driver
"{E3B64CC5-C011-40C0-92BC-7316CD5E5688}" = Microsoft_VC100_CRT_SP1_x86
"{E8C23EBE-EE3C-4299-9DB9-601AB3751454}" = AAVUpdateManager
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0A55445-B637-4CEA-A580-A8FC6954130D}" = HP Client Management Interface Providers
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F6D6B258-E3CA-4AAC-965A-68D3E3140A8C}" = iTunes
"{FA237125-51FF-408C-8BB8-30C2B3DFFF9C}" = Windows Resource Kit Tools
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"BurnInTest_is1" = BurnInTest v6.0 Pro
"CANONBJ_Deinstall_CNMCP5x.DLL" = Canon i9950
"ESBCalc6_is1" = ESBCalc
"FileZilla Client" = FileZilla Client 3.2.7.1
"FotoLook3DeinstKey" = Agfa FotoLook 3.60.00 
"Foxit Reader_is1" = Foxit Reader 5.1
"FreeCommander_is1" = FreeCommander 2009.02b
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.71" = GPL Ghostscript 8.71
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HECI" = Intel(R) Management Engine Interface
"Horlands Scan2Pdf_is1" = Horland's Scan2Pdf
"ie8" = Windows Internet Explorer 8
"ImgBurn" = ImgBurn
"Logoi Hellenikoi_is1" = Logoi Hellenikoi Version 1.1
"Macromedia Shockwave Player" = Macromedia Shockwave Player
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MozBackup" = MozBackup 1.5.1
"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)
"Nmap" = Nmap 5.51
"Nokia Suite" = Nokia Suite
"NTP" = Network Time Protocol
"PDF Complete" = PDF Complete Special Edition
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SeaMonkey (1.1.19)" = SeaMonkey (1.1.19)
"Shareaza_is1" = Shareaza Version 2.2.1.0
"SP46137" = HP Softpaq SP46137 
"SpeedFan" = SpeedFan (remove only)
"Ultravnc2_is1" = UltraVNC 1.0.8.2
"ViewpointMediaPlayer" = Viewpoint Media Player
"VLC media player" = VLC media player 1.1.11
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinPcapInst" = WinPcap 4.1.2
"WinRAR archiver" = WinRAR
"Wireshark" = Wireshark 0.99.7
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01009" = Microsoft User-Mode Driver Framework Feature Pack 1.9
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{8EB85C0E-DE7D-4A53-BD66-708B8F2C80B0}" = HHD Software Hex Editor Neo 4.97
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 06.02.2012 16:37:31 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 06.02.2012 16:37:31 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 06.02.2012 16:37:31 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 06.02.2012 16:37:31 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 06.02.2012 16:38:05 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212.crt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 06.02.2012 16:38:05 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212.crt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 06.02.2012 17:02:16 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 06.02.2012 17:02:16 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 06.02.2012 17:02:16 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 06.02.2012 17:02:16 | Computer Name = *** | Source = crypt32 | ID = 131077
Description = Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/2796BAE63F1801E277261BA0D77770028F20EEE4.crt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
[ System Events ]
Error - 06.02.2012 16:36:14 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 16:42:30 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 16:50:32 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 16:50:35 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 17:00:42 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 17:07:27 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 17:18:03 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 17:25:40 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 17:29:15 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 06.02.2012 17:38:46 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
 
< End of report >

--- --- ---

werde heute abend noch mal alles in Reihenfolge machen
danke für den geduldigen supoort soweit

kira · 08.02.2012, 16:47

poste bitte alle vorhandenen Protokolle!:

Zitat:

TDSSKiller
Malwarebytes

popeye2 · 08.02.2012, 18:29

tdsskiller (1.versuch gestern)

Code:

ATTFilter

a19:53:19.0609 1880	TDSS rootkit removing tool 2.7.10.0 Feb  7 2012 15:14:46
19:53:19.0687 1880	============================================================
19:53:19.0687 1880	Current date / time: 2012/02/07 19:53:19.0687
19:53:19.0687 1880	SystemInfo:
19:53:19.0687 1880	
19:53:19.0687 1880	OS Version: 5.1.2600 ServicePack: 3.0
19:53:19.0687 1880	Product type: Workstation
19:53:19.0687 1880	ComputerName: ***
19:53:19.0687 1880	UserName: ***
19:53:19.0687 1880	Windows directory: D:\WINDOWS
19:53:19.0687 1880	System windows directory: D:\WINDOWS
19:53:19.0687 1880	Processor architecture: Intel x86
19:53:19.0687 1880	Number of processors: 2
19:53:19.0687 1880	Page size: 0x1000
19:53:19.0687 1880	Boot type: Safe boot with network
19:53:19.0687 1880	============================================================
19:53:21.0203 1880	Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
19:53:21.0203 1880	\Device\Harddisk0\DR0:
19:53:21.0203 1880	MBR used
19:53:21.0203 1880	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x6, StartLBA 0x3F, BlocksNum 0xFB001
19:53:21.0203 1880	\Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0xFB07F, BlocksNum 0x4E1EDEC
19:53:21.0234 1880	\Device\Harddisk0\DR0\Partition2: MBR, Type 0x6, StartLBA 0x63A9668, BlocksNum 0x3FFA86
19:53:21.0250 1880	\Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0x67A912D, BlocksNum 0x138C9BD
19:53:21.0265 1880	\Device\Harddisk0\DR0\Partition4: MBR, Type 0x7, StartLBA 0x7B35B29, BlocksNum 0x138C9BD
19:53:21.0265 1880	\Device\Harddisk0\DR0\Partition5: MBR, Type 0x7, StartLBA 0x8EC2525, BlocksNum 0x2711637
19:53:21.0281 1880	\Device\Harddisk0\DR0\Partition6: MBR, Type 0x7, StartLBA 0xB5D3B9B, BlocksNum 0x2711637
19:53:21.0359 1880	Initialize success
19:53:21.0359 1880	============================================================
19:53:24.0703 0532	============================================================
19:53:24.0703 0532	Scan started
19:53:24.0703 0532	Mode: Manual; 
19:53:24.0703 0532	============================================================
19:53:26.0250 0532	Abiosdsk - ok
19:53:26.0281 0532	abp480n5 - ok
19:53:26.0328 0532	ac97intc        (0f2d66d5f08ebe2f77bb904288dcf6f0) D:\WINDOWS\system32\drivers\ac97intc.sys
19:53:26.0328 0532	ac97intc - ok
19:53:26.0375 0532	ACPI            (deac07203d92bf9385573fa5d790ff3c) D:\WINDOWS\system32\DRIVERS\ACPI.sys
19:53:26.0375 0532	Suspicious file (Forged): D:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: deac07203d92bf9385573fa5d790ff3c, Fake md5: ac407f1a62c3a300b4f2b5a9f1d55b2c
19:53:26.0375 0532	ACPI ( Virus.Win32.Rloader.a ) - infected
19:53:26.0375 0532	ACPI - detected Virus.Win32.Rloader.a (0)
19:53:26.0406 0532	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) D:\WINDOWS\system32\drivers\ACPIEC.sys
19:53:26.0406 0532	ACPIEC - ok
19:53:26.0453 0532	ADIHdAudAddService (2dc6ff5da4ea7ca1d4128a7541734b9f) D:\WINDOWS\system32\drivers\ADIHdAud.sys
19:53:26.0453 0532	ADIHdAudAddService - ok
19:53:26.0468 0532	adpu160m - ok
19:53:26.0484 0532	AEAudio         (3bc9c8baf983b583e14088e6ff74a8a1) D:\WINDOWS\system32\drivers\AEAudio.sys
19:53:26.0484 0532	AEAudio - ok
19:53:26.0531 0532	aec             (8bed39e3c35d6a489438b8141717a557) D:\WINDOWS\system32\drivers\aec.sys
19:53:26.0531 0532	aec - ok
19:53:26.0562 0532	AFD             (1e44bc1e83d8fd2305f8d452db109cf9) D:\WINDOWS\System32\drivers\afd.sys
19:53:26.0562 0532	AFD - ok
19:53:26.0593 0532	agp440          (08fd04aa961bdc77fb983f328334e3d7) D:\WINDOWS\system32\DRIVERS\agp440.sys
19:53:26.0593 0532	agp440 - ok
19:53:26.0609 0532	Aha154x - ok
19:53:26.0625 0532	aic78u2 - ok
19:53:26.0640 0532	aic78xx         (b7fe594a7468aa0132deb03fb8e34326) D:\WINDOWS\system32\DRIVERS\aic78xx.sys
19:53:26.0640 0532	aic78xx - ok
19:53:26.0671 0532	AliIde - ok
19:53:26.0687 0532	amsint - ok
19:53:26.0734 0532	Arp1394         (b5b8a80875c1dededa8b02765642c32f) D:\WINDOWS\system32\DRIVERS\arp1394.sys
19:53:26.0734 0532	Arp1394 - ok
19:53:26.0750 0532	asc - ok
19:53:26.0765 0532	asc3350p - ok
19:53:26.0781 0532	asc3550 - ok
19:53:26.0812 0532	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) D:\WINDOWS\system32\DRIVERS\asyncmac.sys
19:53:26.0812 0532	AsyncMac - ok
19:53:26.0843 0532	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) D:\WINDOWS\system32\DRIVERS\atapi.sys
19:53:26.0843 0532	atapi - ok
19:53:26.0859 0532	Atdisk - ok
19:53:26.0875 0532	Atmarpc         (9916c1225104ba14794209cfa8012159) D:\WINDOWS\system32\DRIVERS\atmarpc.sys
19:53:26.0875 0532	Atmarpc - ok
19:53:26.0921 0532	audstub         (d9f724aa26c010a217c97606b160ed68) D:\WINDOWS\system32\DRIVERS\audstub.sys
19:53:26.0921 0532	audstub - ok
19:53:26.0968 0532	Beep            (da1f27d85e0d1525f6621372e7b685e9) D:\WINDOWS\system32\drivers\Beep.sys
19:53:26.0968 0532	Beep - ok
19:53:27.0000 0532	Blfp            (9b53d428de0a2566a03499d7aa48dec4) D:\WINDOWS\system32\DRIVERS\baspxp32.sys
19:53:27.0000 0532	Blfp - ok
19:53:27.0015 0532	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) D:\WINDOWS\system32\drivers\cbidf2k.sys
19:53:27.0015 0532	cbidf2k - ok
19:53:27.0031 0532	cbsx - ok
19:53:27.0078 0532	CCDECODE        (0be5aef125be881c4f854c554f2b025c) D:\WINDOWS\system32\DRIVERS\CCDECODE.sys
19:53:27.0078 0532	CCDECODE - ok
19:53:27.0093 0532	cd20xrnt - ok
19:53:27.0125 0532	Cdaudio         (c1b486a7658353d33a10cc15211a873b) D:\WINDOWS\system32\drivers\Cdaudio.sys
19:53:27.0125 0532	Cdaudio - ok
19:53:27.0156 0532	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) D:\WINDOWS\system32\drivers\Cdfs.sys
19:53:27.0156 0532	Cdfs - ok
19:53:27.0203 0532	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) D:\WINDOWS\system32\DRIVERS\cdrom.sys
19:53:27.0203 0532	Cdrom - ok
19:53:27.0218 0532	Changer - ok
19:53:27.0250 0532	CmdIde - ok
19:53:27.0281 0532	CNMFWC          (ab091fdd35f9fc94429f14b9aebdd616) D:\WINDOWS\system32\DRIVERS\CNMFWC.sys
19:53:27.0281 0532	CNMFWC - ok
19:53:27.0328 0532	Cpqarray - ok
19:53:27.0343 0532	dac2w2k - ok
19:53:27.0359 0532	dac960nt - ok
19:53:27.0406 0532	Disk            (044452051f3e02e7963599fc8f4f3e25) D:\WINDOWS\system32\DRIVERS\disk.sys
19:53:27.0406 0532	Disk - ok
19:53:27.0437 0532	DLABMFSM        (7bee987d5f48d06b57cc18cb5200f779) D:\WINDOWS\system32\Drivers\DLABMFSM.SYS
19:53:27.0437 0532	DLABMFSM - ok
19:53:27.0468 0532	DLABOIOM        (a11b7e5cb3c20d2940fbfba73556cfb7) D:\WINDOWS\system32\Drivers\DLABOIOM.SYS
19:53:27.0468 0532	DLABOIOM - ok
19:53:27.0484 0532	DLACDBHM        (0ee93ab799d1cb4ec90b36f3612fe907) D:\WINDOWS\system32\Drivers\DLACDBHM.SYS
19:53:27.0484 0532	DLACDBHM - ok
19:53:27.0500 0532	DLADResM        (a64538fee5c6c9f220c4e45672ead89e) D:\WINDOWS\system32\Drivers\DLADResM.SYS
19:53:27.0515 0532	DLADResM - ok
19:53:27.0531 0532	DLAIFS_M        (28986f020e711d7bf5bf287dd0df9ffe) D:\WINDOWS\system32\Drivers\DLAIFS_M.SYS
19:53:27.0531 0532	DLAIFS_M - ok
19:53:27.0531 0532	DLAOPIOM        (e42d09fd876314780d50aa620ba13159) D:\WINDOWS\system32\Drivers\DLAOPIOM.SYS
19:53:27.0531 0532	DLAOPIOM - ok
19:53:27.0546 0532	DLAPoolM        (c55760163e336e5c0a05c81c27a39de1) D:\WINDOWS\system32\Drivers\DLAPoolM.SYS
19:53:27.0546 0532	DLAPoolM - ok
19:53:27.0578 0532	DLARTL_M        (336ae18f0912ef4fbe5518849e004d74) D:\WINDOWS\system32\Drivers\DLARTL_M.SYS
19:53:27.0578 0532	DLARTL_M - ok
19:53:27.0609 0532	DLAUDFAM        (3536f4d990697e7e944a023f5a472a6b) D:\WINDOWS\system32\Drivers\DLAUDFAM.SYS
19:53:27.0625 0532	DLAUDFAM - ok
19:53:27.0625 0532	DLAUDF_M        (f95706f998c2a331b830230cc5e798b3) D:\WINDOWS\system32\Drivers\DLAUDF_M.SYS
19:53:27.0625 0532	DLAUDF_M - ok
19:53:27.0703 0532	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) D:\WINDOWS\system32\drivers\dmboot.sys
19:53:27.0718 0532	dmboot - ok
19:53:27.0750 0532	dmio            (53720ab12b48719d00e327da470a619a) D:\WINDOWS\system32\drivers\dmio.sys
19:53:27.0750 0532	dmio - ok
19:53:27.0765 0532	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) D:\WINDOWS\system32\drivers\dmload.sys
19:53:27.0765 0532	dmload - ok
19:53:27.0812 0532	DMusic          (8a208dfcf89792a484e76c40e5f50b45) D:\WINDOWS\system32\drivers\DMusic.sys
19:53:27.0812 0532	DMusic - ok
19:53:27.0828 0532	dpti2o - ok
19:53:27.0859 0532	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) D:\WINDOWS\system32\drivers\drmkaud.sys
19:53:27.0859 0532	drmkaud - ok
19:53:27.0890 0532	DRVMCDB         (5d3b71bb2bb0009d65d290e2ef374bd3) D:\WINDOWS\system32\Drivers\DRVMCDB.SYS
19:53:27.0890 0532	DRVMCDB - ok
19:53:27.0921 0532	DRVNDDM         (c591ba9f96f40a1fd6494dafdcd17185) D:\WINDOWS\system32\Drivers\DRVNDDM.SYS
19:53:27.0921 0532	DRVNDDM - ok
19:53:27.0953 0532	E100B           (a6de5342417fec3c0aa8efebb899c431) D:\WINDOWS\system32\DRIVERS\e100b325.sys
19:53:27.0968 0532	E100B - ok
19:53:28.0015 0532	e1express       (6de32a9123ef60f9d423e9163af0e305) D:\WINDOWS\system32\DRIVERS\e1e5132.sys
19:53:28.0015 0532	e1express - ok
19:53:28.0078 0532	Fastfat         (38d332a6d56af32635675f132548343e) D:\WINDOWS\system32\drivers\Fastfat.sys
19:53:28.0078 0532	Fastfat - ok
19:53:28.0109 0532	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) D:\WINDOWS\system32\DRIVERS\fdc.sys
19:53:28.0109 0532	Fdc - ok
19:53:28.0125 0532	Fips            (b0678a548587c5f1967b0d70bacad6c1) D:\WINDOWS\system32\drivers\Fips.sys
19:53:28.0125 0532	Fips - ok
19:53:28.0140 0532	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) D:\WINDOWS\system32\drivers\Flpydisk.sys
19:53:28.0140 0532	Flpydisk - ok
19:53:28.0187 0532	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) D:\WINDOWS\system32\DRIVERS\fltMgr.sys
19:53:28.0187 0532	FltMgr - ok
19:53:28.0234 0532	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) D:\WINDOWS\system32\drivers\Fs_Rec.sys
19:53:28.0234 0532	Fs_Rec - ok
19:53:28.0281 0532	FTDIBUS         (aae37f0f2f613218dce17b42a18c38db) D:\WINDOWS\system32\drivers\ftdibus.sys
19:53:28.0281 0532	FTDIBUS - ok
19:53:28.0312 0532	Ftdisk          (8f1955ce42e1484714b542f341647778) D:\WINDOWS\system32\DRIVERS\ftdisk.sys
19:53:28.0312 0532	Ftdisk - ok
19:53:28.0343 0532	FTSER2K         (48bfd1ba45c9c9e7ab339e25abfba1d2) D:\WINDOWS\system32\drivers\ftser2k.sys
19:53:28.0343 0532	FTSER2K - ok
19:53:28.0390 0532	GEARAspiWDM     (8182ff89c65e4d38b2de4bb0fb18564e) D:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
19:53:28.0390 0532	GEARAspiWDM - ok
19:53:28.0421 0532	giveio          (77ebf3e9386daa51551af429052d88d0) D:\WINDOWS\system32\giveio.sys
19:53:28.0421 0532	giveio - ok
19:53:28.0453 0532	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) D:\WINDOWS\system32\DRIVERS\msgpc.sys
19:53:28.0453 0532	Gpc - ok
19:53:28.0515 0532	gunim           (e6d35f3aa51a65eb35c1f2340154a25e) D:\WINDOWS\system32\drivers\vnqqdlr.sys
19:53:28.0515 0532	gunim - ok
19:53:28.0546 0532	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) D:\WINDOWS\system32\DRIVERS\HDAudBus.sys
19:53:28.0546 0532	HDAudBus - ok
19:53:28.0593 0532	HECI            (0bf1d760b05caaaf231123d53c4789e2) D:\WINDOWS\system32\DRIVERS\HECI.sys
19:53:28.0593 0532	HECI - ok
19:53:28.0640 0532	hidusb          (ccf82c5ec8a7326c3066de870c06daf1) D:\WINDOWS\system32\DRIVERS\hidusb.sys
19:53:28.0640 0532	hidusb - ok
19:53:28.0656 0532	hpn - ok
19:53:28.0718 0532	HTTP            (f80a415ef82cd06ffaf0d971528ead38) D:\WINDOWS\system32\Drivers\HTTP.sys
19:53:28.0718 0532	HTTP - ok
19:53:28.0734 0532	i2omgmt - ok
19:53:28.0750 0532	i2omp - ok
19:53:28.0781 0532	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) D:\WINDOWS\system32\DRIVERS\i8042prt.sys
19:53:28.0781 0532	i8042prt - ok
19:53:28.0937 0532	ialm            (66a685b05066683621920bc14a45cfe8) D:\WINDOWS\system32\DRIVERS\igxpmp32.sys
19:53:29.0062 0532	ialm - ok
19:53:29.0109 0532	IFXTPM          (91c5e9f49f32110ced27e2f902fad607) D:\WINDOWS\system32\DRIVERS\IFXTPM.SYS
19:53:29.0109 0532	IFXTPM - ok
19:53:29.0125 0532	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) D:\WINDOWS\system32\DRIVERS\imapi.sys
19:53:29.0125 0532	Imapi - ok
19:53:29.0140 0532	ini910u - ok
19:53:29.0203 0532	IntelIde        (69c4e3c9e67a1f103b94e14fdd5f3213) D:\WINDOWS\system32\DRIVERS\intelide.sys
19:53:29.0203 0532	IntelIde - ok
19:53:29.0234 0532	intelppm        (4c7d2750158ed6e7ad642d97bffae351) D:\WINDOWS\system32\DRIVERS\intelppm.sys
19:53:29.0234 0532	intelppm - ok
19:53:29.0265 0532	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
19:53:29.0265 0532	Ip6Fw - ok
19:53:29.0281 0532	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) D:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
19:53:29.0296 0532	IpFilterDriver - ok
19:53:29.0312 0532	IpInIp          (b87ab476dcf76e72010632b5550955f5) D:\WINDOWS\system32\DRIVERS\ipinip.sys
19:53:29.0312 0532	IpInIp - ok
19:53:29.0343 0532	IpNat           (cc748ea12c6effde940ee98098bf96bb) D:\WINDOWS\system32\DRIVERS\ipnat.sys
19:53:29.0343 0532	IpNat - ok
19:53:29.0390 0532	IPSec           (23c74d75e36e7158768dd63d92789a91) D:\WINDOWS\system32\DRIVERS\ipsec.sys
19:53:29.0390 0532	IPSec - ok
19:53:29.0406 0532	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) D:\WINDOWS\system32\DRIVERS\irenum.sys
19:53:29.0406 0532	IRENUM - ok
19:53:29.0468 0532	isapnp          (6dfb88f64135c525433e87648bda30de) D:\WINDOWS\system32\DRIVERS\isapnp.sys
19:53:29.0468 0532	isapnp - ok
19:53:29.0515 0532	Kbdclass        (1704d8c4c8807b889e43c649b478a452) D:\WINDOWS\system32\DRIVERS\kbdclass.sys
19:53:29.0515 0532	Kbdclass - ok
19:53:29.0546 0532	kmixer          (692bcf44383d056aed41b045a323d378) D:\WINDOWS\system32\drivers\kmixer.sys
19:53:29.0562 0532	kmixer - ok
19:53:29.0593 0532	KSecDD          (b467646c54cc746128904e1654c750c1) D:\WINDOWS\system32\drivers\KSecDD.sys
19:53:29.0593 0532	KSecDD - ok
19:53:29.0625 0532	lbrtfdc - ok
19:53:29.0687 0532	MAUSBMOBILEPREII (36d0043bd918b25bb4cc01cbe67ed7fe) D:\WINDOWS\system32\DRIVERS\MAudioMobilePreII.sys
19:53:29.0687 0532	MAUSBMOBILEPREII - ok
19:53:29.0734 0532	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) D:\WINDOWS\system32\drivers\mnmdd.sys
19:53:29.0734 0532	mnmdd - ok
19:53:29.0765 0532	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) D:\WINDOWS\system32\drivers\Modem.sys
19:53:29.0765 0532	Modem - ok
19:53:29.0781 0532	MODEMCSA        (1992e0d143b09653ab0f9c5e04b0fd65) D:\WINDOWS\system32\drivers\MODEMCSA.sys
19:53:29.0781 0532	MODEMCSA - ok
19:53:29.0828 0532	Mouclass        (b24ce8005deab254c0251e15cb71d802) D:\WINDOWS\system32\DRIVERS\mouclass.sys
19:53:29.0828 0532	Mouclass - ok
19:53:29.0843 0532	mouhid          (66a6f73c74e1791464160a7065ce711a) D:\WINDOWS\system32\DRIVERS\mouhid.sys
19:53:29.0843 0532	mouhid - ok
19:53:29.0875 0532	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) D:\WINDOWS\system32\drivers\MountMgr.sys
19:53:29.0875 0532	MountMgr - ok
19:53:29.0890 0532	mraid35x - ok
19:53:29.0906 0532	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) D:\WINDOWS\system32\DRIVERS\mrxdav.sys
19:53:29.0921 0532	MRxDAV - ok
19:53:29.0953 0532	MRxSmb          (2a5c53c7cf4373696325d9340d50ad4a) D:\WINDOWS\system32\DRIVERS\mrxsmb.sys
19:53:29.0953 0532	Suspicious file (Forged): D:\WINDOWS\system32\DRIVERS\mrxsmb.sys. Real md5: 2a5c53c7cf4373696325d9340d50ad4a, Fake md5: 6f65981dadd9d8fe274711a163c7531e
19:53:29.0953 0532	MRxSmb ( Virus.Win32.ZAccess.l ) - infected
19:53:29.0953 0532	MRxSmb - detected Virus.Win32.ZAccess.l (0)
19:53:30.0000 0532	Msfs            (c941ea2454ba8350021d774daf0f1027) D:\WINDOWS\system32\drivers\Msfs.sys
19:53:30.0000 0532	Msfs - ok
19:53:30.0031 0532	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) D:\WINDOWS\system32\drivers\MSKSSRV.sys
19:53:30.0031 0532	MSKSSRV - ok
19:53:30.0046 0532	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) D:\WINDOWS\system32\drivers\MSPCLOCK.sys
19:53:30.0046 0532	MSPCLOCK - ok
19:53:30.0078 0532	MSPQM           (bad59648ba099da4a17680b39730cb3d) D:\WINDOWS\system32\drivers\MSPQM.sys
19:53:30.0078 0532	MSPQM - ok
19:53:30.0109 0532	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) D:\WINDOWS\system32\DRIVERS\mssmbios.sys
19:53:30.0109 0532	mssmbios - ok
19:53:30.0140 0532	MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) D:\WINDOWS\system32\drivers\MSTEE.sys
19:53:30.0140 0532	MSTEE - ok
19:53:30.0171 0532	Mup             (de6a75f5c270e756c5508d94b6cf68f5) D:\WINDOWS\system32\drivers\Mup.sys
19:53:30.0171 0532	Mup - ok
19:53:30.0218 0532	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) D:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
19:53:30.0218 0532	NABTSFEC - ok
19:53:30.0265 0532	NDIS            (1df7f42665c94b825322fae71721130d) D:\WINDOWS\system32\drivers\NDIS.sys
19:53:30.0265 0532	NDIS - ok
19:53:30.0312 0532	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) D:\WINDOWS\system32\DRIVERS\NdisIP.sys
19:53:30.0312 0532	NdisIP - ok
19:53:30.0328 0532	NdisTapi        (0109c4f3850dfbab279542515386ae22) D:\WINDOWS\system32\DRIVERS\ndistapi.sys
19:53:30.0328 0532	NdisTapi - ok
19:53:30.0375 0532	Ndisuio         (f927a4434c5028758a842943ef1a3849) D:\WINDOWS\system32\DRIVERS\ndisuio.sys
19:53:30.0375 0532	Ndisuio - ok
19:53:30.0406 0532	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) D:\WINDOWS\system32\DRIVERS\ndiswan.sys
19:53:30.0406 0532	NdisWan - ok
19:53:30.0453 0532	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) D:\WINDOWS\system32\drivers\NDProxy.sys
19:53:30.0453 0532	NDProxy - ok
19:53:30.0500 0532	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) D:\WINDOWS\system32\DRIVERS\netbios.sys
19:53:30.0500 0532	NetBIOS - ok
19:53:30.0546 0532	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) D:\WINDOWS\system32\DRIVERS\netbt.sys
19:53:30.0546 0532	NetBT - ok
19:53:30.0609 0532	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) D:\WINDOWS\system32\DRIVERS\nic1394.sys
19:53:30.0609 0532	NIC1394 - ok
19:53:30.0640 0532	nm              (1e421a6bcf2203cc61b821ada9de878b) D:\WINDOWS\system32\DRIVERS\NMnt.sys
19:53:30.0640 0532	nm - ok
19:53:30.0687 0532	NMSCFG          (419f4d80fe7e34e2626c84b3c6035955) D:\WINDOWS\system32\drivers\NMSCFG.SYS
19:53:30.0687 0532	NMSCFG - ok
19:53:30.0734 0532	nmwcd           (b0a67de1a128389aea4d42c5a56215fd) D:\WINDOWS\system32\drivers\ccdcmb.sys
19:53:30.0734 0532	nmwcd - ok
19:53:30.0765 0532	nmwcdc          (025c54f9f8c8bc1894ea38529c742c54) D:\WINDOWS\system32\drivers\ccdcmbo.sys
19:53:30.0781 0532	nmwcdc - ok
19:53:30.0828 0532	nmwcdnsu        (4f0de685a96dc843ccc8a861b3fac12d) D:\WINDOWS\system32\drivers\nmwcdnsu.sys
19:53:30.0828 0532	nmwcdnsu - ok
19:53:30.0859 0532	nmwcdnsuc       (578117c0c0cf10d99c8853e83c4bc63c) D:\WINDOWS\system32\drivers\nmwcdnsuc.sys
19:53:30.0859 0532	nmwcdnsuc - ok
19:53:30.0906 0532	npf             (b48dc6abcd3aeff8618350ccbdc6b09a) D:\WINDOWS\system32\drivers\npf.sys
19:53:30.0906 0532	npf - ok
19:53:30.0953 0532	Npfs            (3182d64ae053d6fb034f44b6def8034a) D:\WINDOWS\system32\drivers\Npfs.sys
19:53:30.0953 0532	Npfs - ok
19:53:31.0000 0532	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) D:\WINDOWS\system32\drivers\Ntfs.sys
19:53:31.0000 0532	Ntfs - ok
19:53:31.0062 0532	Null            (73c1e1f395918bc2c6dd67af7591a3ad) D:\WINDOWS\system32\drivers\Null.sys
19:53:31.0062 0532	Null - ok
19:53:31.0125 0532	nv              (2b298519edbfcf451d43e0f1e8f1006d) D:\WINDOWS\system32\DRIVERS\nv4_mini.sys
19:53:31.0171 0532	nv - ok
19:53:31.0203 0532	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) D:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
19:53:31.0203 0532	NwlnkFlt - ok
19:53:31.0218 0532	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) D:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
19:53:31.0218 0532	NwlnkFwd - ok
19:53:31.0234 0532	ohci1394        (ca33832df41afb202ee7aeb05145922f) D:\WINDOWS\system32\DRIVERS\ohci1394.sys
19:53:31.0234 0532	ohci1394 - ok
19:53:31.0250 0532	P3              (a7af0c0860f1c43fc6581ba8a99eabef) D:\WINDOWS\system32\DRIVERS\p3.sys
19:53:31.0250 0532	P3 - ok
19:53:31.0281 0532	Parport         (f84785660305b9b903fb3bca8ba29837) D:\WINDOWS\system32\DRIVERS\parport.sys
19:53:31.0281 0532	Parport - ok
19:53:31.0296 0532	PartMgr         (beb3ba25197665d82ec7065b724171c6) D:\WINDOWS\system32\drivers\PartMgr.sys
19:53:31.0296 0532	PartMgr - ok
19:53:31.0328 0532	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) D:\WINDOWS\system32\drivers\ParVdm.sys
19:53:31.0328 0532	ParVdm - ok
19:53:31.0375 0532	pccsmcfd        (fd2041e9ba03db7764b2248f02475079) D:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
19:53:31.0375 0532	pccsmcfd - ok
19:53:31.0406 0532	PCI             (387e8dedc343aa2d1efbc30580273acd) D:\WINDOWS\system32\DRIVERS\pci.sys
19:53:31.0406 0532	PCI - ok
19:53:31.0421 0532	PCIDump - ok
19:53:31.0437 0532	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) D:\WINDOWS\system32\DRIVERS\pciide.sys
19:53:31.0437 0532	PCIIde - ok
19:53:31.0484 0532	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) D:\WINDOWS\system32\drivers\Pcmcia.sys
19:53:31.0484 0532	Pcmcia - ok
19:53:31.0500 0532	PDCOMP - ok
19:53:31.0531 0532	PDFRAME - ok
19:53:31.0546 0532	PDRELI - ok
19:53:31.0546 0532	PDRFRAME - ok
19:53:31.0562 0532	perc2 - ok
19:53:31.0578 0532	perc2hib - ok
19:53:31.0640 0532	pfc             (e5ac9f8c128b597dd7919af96b84172e) D:\WINDOWS\system32\drivers\pfc.sys
19:53:31.0640 0532	pfc - ok
19:53:31.0687 0532	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) D:\WINDOWS\system32\DRIVERS\raspptp.sys
19:53:31.0687 0532	PptpMiniport - ok
19:53:31.0718 0532	PSched          (09298ec810b07e5d582cb3a3f9255424) D:\WINDOWS\system32\DRIVERS\psched.sys
19:53:31.0718 0532	PSched - ok
19:53:31.0750 0532	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) D:\WINDOWS\system32\DRIVERS\ptilink.sys
19:53:31.0750 0532	Ptilink - ok
19:53:31.0781 0532	PxHelp20        (153d02480a0a2f45785522e814c634b6) D:\WINDOWS\system32\Drivers\PxHelp20.sys
19:53:31.0781 0532	PxHelp20 - ok
19:53:31.0796 0532	ql1080 - ok
19:53:31.0828 0532	Ql10wnt - ok
19:53:31.0828 0532	ql12160 - ok
19:53:31.0843 0532	ql1240 - ok
19:53:31.0859 0532	ql1280 - ok
19:53:31.0890 0532	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) D:\WINDOWS\system32\DRIVERS\rasacd.sys
19:53:31.0890 0532	RasAcd - ok
19:53:31.0921 0532	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) D:\WINDOWS\system32\DRIVERS\rasl2tp.sys
19:53:31.0921 0532	Rasl2tp - ok
19:53:31.0937 0532	RasPppoe        (5bc962f2654137c9909c3d4603587dee) D:\WINDOWS\system32\DRIVERS\raspppoe.sys
19:53:31.0937 0532	RasPppoe - ok
19:53:31.0953 0532	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) D:\WINDOWS\system32\DRIVERS\raspti.sys
19:53:31.0953 0532	Raspti - ok
19:53:32.0000 0532	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) D:\WINDOWS\system32\DRIVERS\rdbss.sys
19:53:32.0000 0532	Rdbss - ok
19:53:32.0031 0532	RDPCDD          (4912d5b403614ce99c28420f75353332) D:\WINDOWS\system32\DRIVERS\RDPCDD.sys
19:53:32.0046 0532	RDPCDD - ok
19:53:32.0078 0532	rdpdr           (15cabd0f7c00c47c70124907916af3f1) D:\WINDOWS\system32\DRIVERS\rdpdr.sys
19:53:32.0078 0532	rdpdr - ok
19:53:32.0125 0532	RDPWD           (fc105dd312ed64eb66bff111e8ec6eac) D:\WINDOWS\system32\drivers\RDPWD.sys
19:53:32.0125 0532	RDPWD - ok
19:53:32.0156 0532	redbook         (ed761d453856f795a7fe056e42c36365) D:\WINDOWS\system32\DRIVERS\redbook.sys
19:53:32.0156 0532	redbook - ok
19:53:32.0234 0532	sbp2port        (b244960e5a1db8e9d5d17086de37c1e4) D:\WINDOWS\system32\DRIVERS\sbp2port.sys
19:53:32.0234 0532	sbp2port - ok
19:53:32.0296 0532	scsiscan        (089870dab7aa277585c475ae09ee4c63) D:\WINDOWS\system32\DRIVERS\scsiscan.sys
19:53:32.0296 0532	scsiscan - ok
19:53:32.0328 0532	Secdrv          (90a3935d05b494a5a39d37e71f09a677) D:\WINDOWS\system32\DRIVERS\secdrv.sys
19:53:32.0328 0532	Secdrv - ok
19:53:32.0375 0532	Ser2pl          (b4664c1ee39a5b7fc112f4077f8d21a5) D:\WINDOWS\system32\DRIVERS\ser2pl.sys
19:53:32.0375 0532	Ser2pl - ok
19:53:32.0406 0532	Serenum         (0f29512ccd6bead730039fb4bd2c85ce) D:\WINDOWS\system32\DRIVERS\serenum.sys
19:53:32.0406 0532	Serenum - ok
19:53:32.0421 0532	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) D:\WINDOWS\system32\DRIVERS\serial.sys
19:53:32.0421 0532	Serial - ok
19:53:32.0484 0532	SFAUDIO         (b6401608579b6431994425ba7653f774) D:\WINDOWS\system32\drivers\sfaudio.sys
19:53:32.0484 0532	SFAUDIO - ok
19:53:32.0515 0532	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) D:\WINDOWS\system32\DRIVERS\sfloppy.sys
19:53:32.0515 0532	Sfloppy - ok
19:53:32.0546 0532	Simbad - ok
19:53:32.0593 0532	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) D:\WINDOWS\system32\DRIVERS\SLIP.sys
19:53:32.0593 0532	SLIP - ok
19:53:32.0609 0532	Sparrow - ok
19:53:32.0640 0532	speedfan        (9f70cd5edcc4efc48ae21e04fb03be9d) D:\WINDOWS\system32\speedfan.sys
19:53:32.0640 0532	speedfan - ok
19:53:32.0671 0532	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) D:\WINDOWS\system32\drivers\splitter.sys
19:53:32.0671 0532	splitter - ok
19:53:32.0734 0532	sr              (50fa898f8c032796d3b1b9951bb5a90f) D:\WINDOWS\system32\DRIVERS\sr.sys
19:53:32.0734 0532	sr - ok
19:53:32.0765 0532	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) D:\WINDOWS\system32\DRIVERS\srv.sys
19:53:32.0765 0532	Srv - ok
19:53:32.0812 0532	streamip        (77813007ba6265c4b6098187e6ed79d2) D:\WINDOWS\system32\DRIVERS\StreamIP.sys
19:53:32.0812 0532	streamip - ok
19:53:32.0859 0532	swenum          (3941d127aef12e93addf6fe6ee027e0f) D:\WINDOWS\system32\DRIVERS\swenum.sys
19:53:32.0859 0532	swenum - ok
19:53:32.0875 0532	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) D:\WINDOWS\system32\drivers\swmidi.sys
19:53:32.0875 0532	swmidi - ok
19:53:32.0890 0532	symc810 - ok
19:53:32.0906 0532	symc8xx - ok
19:53:32.0921 0532	sym_hi - ok
19:53:32.0937 0532	sym_u3 - ok
19:53:32.0968 0532	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) D:\WINDOWS\system32\drivers\sysaudio.sys
19:53:32.0968 0532	sysaudio - ok
19:53:33.0031 0532	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) D:\WINDOWS\system32\DRIVERS\tcpip.sys
19:53:33.0031 0532	Tcpip - ok
19:53:33.0062 0532	TDPIPE          (6471a66807f5e104e4885f5b67349397) D:\WINDOWS\system32\drivers\TDPIPE.sys
19:53:33.0062 0532	TDPIPE - ok
19:53:33.0078 0532	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) D:\WINDOWS\system32\drivers\TDTCP.sys
19:53:33.0078 0532	TDTCP - ok
19:53:33.0125 0532	TermDD          (88155247177638048422893737429d9e) D:\WINDOWS\system32\DRIVERS\termdd.sys
19:53:33.0125 0532	TermDD - ok
19:53:33.0156 0532	TosIde - ok
19:53:33.0187 0532	TPkd            (409a577fd5781c717e55a28717514c58) D:\WINDOWS\system32\drivers\TPkd.sys
19:53:33.0187 0532	TPkd - ok
19:53:33.0234 0532	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) D:\WINDOWS\system32\drivers\Udfs.sys
19:53:33.0234 0532	Udfs - ok
19:53:33.0250 0532	ultra - ok
19:53:33.0265 0532	Update          (402ddc88356b1bac0ee3dd1580c76a31) D:\WINDOWS\system32\DRIVERS\update.sys
19:53:33.0265 0532	Update - ok
19:53:33.0328 0532	upperdev        (78b74af8727a28c128e164e9b53a5413) D:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys
19:53:33.0328 0532	upperdev - ok
19:53:33.0359 0532	USBAAPL         (83cafcb53201bbac04d822f32438e244) D:\WINDOWS\system32\Drivers\usbaapl.sys
19:53:33.0375 0532	USBAAPL - ok
19:53:33.0421 0532	usbaudio        (e919708db44ed8543a7c017953148330) D:\WINDOWS\system32\drivers\usbaudio.sys
19:53:33.0421 0532	usbaudio - ok
19:53:33.0453 0532	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) D:\WINDOWS\system32\DRIVERS\usbccgp.sys
19:53:33.0453 0532	usbccgp - ok
19:53:33.0484 0532	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) D:\WINDOWS\system32\DRIVERS\usbehci.sys
19:53:33.0484 0532	usbehci - ok
19:53:33.0515 0532	usbhub          (1ab3cdde553b6e064d2e754efe20285c) D:\WINDOWS\system32\DRIVERS\usbhub.sys
19:53:33.0515 0532	usbhub - ok
19:53:33.0562 0532	usbprint        (a717c8721046828520c9edf31288fc00) D:\WINDOWS\system32\DRIVERS\usbprint.sys
19:53:33.0562 0532	usbprint - ok
19:53:33.0593 0532	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) D:\WINDOWS\system32\DRIVERS\usbscan.sys
19:53:33.0593 0532	usbscan - ok
19:53:33.0640 0532	usbser          (1c888b000c2f9492f4b15b5b6b84873e) D:\WINDOWS\system32\drivers\usbser.sys
19:53:33.0640 0532	usbser - ok
19:53:33.0671 0532	UsbserFilt      (4f8fbc51a1c0a17310846b417a447f91) D:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys
19:53:33.0671 0532	UsbserFilt - ok
19:53:33.0703 0532	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
19:53:33.0703 0532	USBSTOR - ok
19:53:33.0750 0532	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) D:\WINDOWS\system32\DRIVERS\usbuhci.sys
19:53:33.0750 0532	usbuhci - ok
19:53:33.0796 0532	usbvideo        (63bbfca7f390f4c49ed4b96bfb1633e0) D:\WINDOWS\system32\Drivers\usbvideo.sys
19:53:33.0796 0532	usbvideo - ok
19:53:33.0828 0532	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) D:\WINDOWS\System32\drivers\vga.sys
19:53:33.0828 0532	VgaSave - ok
19:53:33.0843 0532	ViaIde - ok
19:53:33.0875 0532	VolSnap         (a5a712f4e880874a477af790b5186e1d) D:\WINDOWS\system32\drivers\VolSnap.sys
19:53:33.0875 0532	VolSnap - ok
19:53:33.0921 0532	Wanarp          (e20b95baedb550f32dd489265c1da1f6) D:\WINDOWS\system32\DRIVERS\wanarp.sys
19:53:33.0921 0532	Wanarp - ok
19:53:33.0984 0532	Wdf01000        (d918617b46457b9ac28027722e30f647) D:\WINDOWS\system32\Drivers\wdf01000.sys
19:53:33.0984 0532	Wdf01000 - ok
19:53:34.0000 0532	WDICA - ok
19:53:34.0046 0532	wdmaud          (6768acf64b18196494413695f0c3a00f) D:\WINDOWS\system32\drivers\wdmaud.sys
19:53:34.0046 0532	wdmaud - ok
19:53:34.0140 0532	WmiAcpi         (c42584fd66ce9e17403aebca199f7bdb) D:\WINDOWS\system32\DRIVERS\wmiacpi.sys
19:53:34.0140 0532	WmiAcpi - ok
19:53:34.0203 0532	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) D:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
19:53:34.0203 0532	WSTCODEC - ok
19:53:34.0250 0532	WudfPf          (eaa6324f51214d2f6718977ec9ce0def) D:\WINDOWS\system32\DRIVERS\WudfPf.sys
19:53:34.0250 0532	WudfPf - ok
19:53:34.0265 0532	WudfRd          (f91ff1e51fca30b3c3981db7d5924252) D:\WINDOWS\system32\DRIVERS\wudfrd.sys
19:53:34.0265 0532	WudfRd - ok
19:53:34.0343 0532	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
19:53:34.0468 0532	\Device\Harddisk0\DR0 - ok
19:53:34.0484 0532	Boot (0x1200)   (4f256743cb351756c9958adf3f5e7055) \Device\Harddisk0\DR0\Partition0
19:53:34.0484 0532	\Device\Harddisk0\DR0\Partition0 - ok
19:53:34.0500 0532	Boot (0x1200)   (a81c0ebaf7812513e070ee13dccb6a90) \Device\Harddisk0\DR0\Partition1
19:53:34.0500 0532	\Device\Harddisk0\DR0\Partition1 - ok
19:53:34.0531 0532	Boot (0x1200)   (b1e27aa018409de6bfd73f8afb883a65) \Device\Harddisk0\DR0\Partition2
19:53:34.0531 0532	\Device\Harddisk0\DR0\Partition2 - ok
19:53:34.0562 0532	Boot (0x1200)   (546777b5f42c18489d7b4b47ac0d01ad) \Device\Harddisk0\DR0\Partition3
19:53:34.0562 0532	\Device\Harddisk0\DR0\Partition3 - ok
19:53:34.0578 0532	Boot (0x1200)   (3eb3a5b35d2b2b48af88b719699fd28c) \Device\Harddisk0\DR0\Partition4
19:53:34.0578 0532	\Device\Harddisk0\DR0\Partition4 - ok
19:53:34.0609 0532	Boot (0x1200)   (ec5767594c4f4445cf4596a3bcac479e) \Device\Harddisk0\DR0\Partition5
19:53:34.0609 0532	\Device\Harddisk0\DR0\Partition5 - ok
19:53:34.0640 0532	Boot (0x1200)   (bf6f17ea159755446cd654d08e502fd5) \Device\Harddisk0\DR0\Partition6
19:53:34.0640 0532	\Device\Harddisk0\DR0\Partition6 - ok
19:53:34.0640 0532	============================================================
19:53:34.0640 0532	Scan finished
19:53:34.0640 0532	============================================================
19:53:34.0656 0432	Detected object count: 2
19:53:34.0656 0432	Actual detected object count: 2
19:57:48.0484 0432	D:\WINDOWS\system32\DRIVERS\ACPI.sys - copied to quarantine
19:57:49.0156 0432	Backup copy found, using it..
19:57:49.0156 0432	D:\WINDOWS\system32\DRIVERS\ACPI.sys - will be cured on reboot
19:57:49.0171 0432	ACPI ( Virus.Win32.Rloader.a ) - User select action: Cure 
19:57:49.0312 0432	D:\WINDOWS\system32\DRIVERS\mrxsmb.sys - copied to quarantine
19:57:49.0500 0432	Backup copy found, using it..
19:57:49.0515 0432	D:\WINDOWS\system32\DRIVERS\mrxsmb.sys - will be cured on reboot
19:57:50.0734 0432	MRxSmb ( Virus.Win32.ZAccess.l ) - User select action: Cure 
19:58:02.0218 0548	Deinitialize success

mbam quick von gestern morgen

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.01

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
*** :: *** [Administrator]

07.02.2012 07:08:13
mbam-log-2012-02-07 (07-08-13).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 359719
Laufzeit: 27 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4Y3Y0C3A9F7XXZWDRJMSD (Trojan.VUPX.ON1) -> Daten: D:\Recycle.Bin\B6232F3A3AA.exe /q -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
D:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 29
D:\Recycle.Bin\B6232F3A3AA.exe (Trojan.VUPX.ON1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14\4e4076ce-220e6afc (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\73ed3910-3e3cfd6f (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\6c3865db-613401d7 (Trojan.VUPX.ON1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\RECYCLER\S-1-5-21-1708537768-1383384898-1801674531-1010\Dd47.exe (Trojan.VUPX.ON1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\RECYCLER\S-1-5-21-1708537768-1383384898-1801674531-1010\Dd48.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\RECYCLER\S-1-5-21-1708537768-1383384898-1801674531-1010\Dd52.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0056798.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0056810.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0056820.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0056833.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0057833.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0057846.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0058846.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0059846.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0059857.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0059884.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0060884.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0061884.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0062884.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0063884.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0064884.sys (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\0.667386104230902.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\0.894535772829511.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\hdgfsh.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\lllppth.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\tgtkko.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\Temp\0.26255139984559184.exe (Exploit.Drop.2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Recycle.Bin\96CD37EF74DF89C (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

mbam mach ich dann noch mal komplett
wird etwa ne stunde dauern (140000 Dateien)
Grüß

kira · 08.02.2012, 18:57

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

per Doppelklick starten.
gleich mal die Datenbanken zu aktualisieren - online updaten
Vollständiger Suchlauf wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
MBR mit aswMBR von Avast prüfen

Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Klicke Scan, um den Suchlauf zu starten.

Wenn der Scan beendet ist, was mit Scan finished sucessfull! gemeldet wird, klicke Save log, um das Logfile zu speichern.
Poste mir den Inhalt von aswASW.log vom Desktop hier in den Thread.

3.
erneut einen Scan mit OTL:

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

popeye2 · 08.02.2012, 20:08

zu 1: (das mit volume nicht löschen kam zu spät) -soll ich noch mal anfangen?

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: *** [Administrator]

08.02.2012 18:36:36
mbam-log-2012-02-08 (18-36-36).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 360087
Laufzeit: 1 Stunde(n), 10 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0064896.exe (Trojan.VUPX.ON1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0064897.exe (Trojan.VUPX.ON1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0064898.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP215\A0064899.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\TDSSKiller_Quarantine\07.02.2012_19.53.19\rtkt0000\svc0000\tsk0000.dta (Virus.RLoader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\TDSSKiller_Quarantine\07.02.2012_19.53.19\rtkt0001\svc0000\tsk0000.dta (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

zu2:

Code:

ATTFilter

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-08 20:13:42
-----------------------------
20:13:42.418    OS Version: Windows 5.1.2600 Service Pack 3
20:13:42.418    Number of processors: 2 586 0xF0B
20:13:42.418    ComputerName: ***  UserName: whw
20:13:43.090    Initialize success
20:14:59.638    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16
20:14:59.654    Disk 0 Vendor: WDC_WD3200BEVT-63ZCT0 11.01A11 Size: 305245MB BusType: 3
20:14:59.654    Disk 0 MBR read successfully
20:14:59.669    Disk 0 MBR scan
20:14:59.669    Disk 0 Windows XP default MBR code
20:14:59.669    Disk 0 Partition 1 80 (A) 06        FAT16 MSDOS5.0      502 MB offset 63
20:14:59.669    Disk 0 Partition - 00     0F Extended LBA            152115 MB offset 1028160
20:14:59.669    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        39997 MB offset 1028223
20:14:59.669    Disk 0 Partition - 00     05     Extended               517 MB offset 82943595
20:14:59.685    Disk 0 Partition 3 00     82   Linux swap               517 MB offset 82943658
20:14:59.685    Disk 0 Partition - 00     05     Extended             10009 MB offset 165919320
20:14:59.700    Disk 0 Partition 4 00     83        Linux             10009 MB offset 84003948
20:14:59.700    Disk 0 Partition - 00     05     Extended              2047 MB offset 187478550
20:14:59.841    Disk 0 Partition 5 00     06        FAT16              2047 MB offset 104502888
20:14:59.872    Disk 0 Partition - 00     05     Extended             10009 MB offset 212170455
20:14:59.872    Disk 0 Partition 6 00     07    HPFS/NTFS NTFS        10009 MB offset 108695853
20:14:59.872    Disk 0 Partition - 00     05     Extended             10009 MB offset 236862360
20:14:59.888    Disk 0 Partition 7 00     07    HPFS/NTFS NTFS        10009 MB offset 129194793
20:14:59.888    Disk 0 Partition - 00     05     Extended             20002 MB offset 277860240
20:14:59.919    Disk 0 Partition 8 00     07    HPFS/NTFS NTFS        20002 MB offset 149693733
20:14:59.919    Disk 0 Partition - 00     05     Extended             20002 MB offset 339324930
20:14:59.935    Disk 0 Partition 9 00     07    HPFS/NTFS NTFS        20002 MB offset 190659483
20:14:59.950    Disk 0 scanning sectors +312560640
20:15:00.060    Disk 0 scanning D:\WINDOWS\system32\drivers
20:15:03.576    File: D:\WINDOWS\system32\drivers\afd.sys  **SUSPICIOUS**
20:15:07.326    Disk 0 trace - called modules:
20:15:07.326    ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xba2abfc0]<<
20:15:07.341    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x83f1fab8]
20:15:07.341    3 CLASSPNP.SYS[ba0f8fd7] -> nt!IofCallDriver -> [0x83876340]
20:15:07.341    \Driver\00000773[0x838be960] -> IRP_MJ_CREATE -> 0xba2abfc0
20:15:07.341    Scan finished successfully
20:16:02.905    Disk 0 MBR has been saved successfully to "D:\Dokumente und Einstellungen\whw\Desktop\MBR.dat"
20:16:02.905    The log file has been saved successfully to "D:\Dokumente und Einstellungen\whw\Desktop\aswMBR2.txt"


aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-08 20:16:20
-----------------------------
20:16:20.155    OS Version: Windows 5.1.2600 Service Pack 3
20:16:20.155    Number of processors: 2 586 0xF0B
20:16:20.155    ComputerName: ***  UserName: ***
20:16:20.577    Initialize success
20:16:33.796    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16
20:16:33.796    Disk 0 Vendor: WDC_WD3200BEVT-63ZCT0 11.01A11 Size: 305245MB BusType: 3
20:16:33.796    Disk 0 MBR read successfully
20:16:33.796    Disk 0 MBR scan
20:16:33.796    Disk 0 Windows XP default MBR code
20:16:33.796    Disk 0 Partition 1 80 (A) 06        FAT16 MSDOS5.0      502 MB offset 63
20:16:33.796    Disk 0 Partition - 00     0F Extended LBA            152115 MB offset 1028160
20:16:33.811    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        39997 MB offset 1028223
20:16:33.811    Disk 0 Partition - 00     05     Extended               517 MB offset 82943595
20:16:33.827    Disk 0 Partition 3 00     82   Linux swap               517 MB offset 82943658
20:16:33.827    Disk 0 Partition - 00     05     Extended             10009 MB offset 165919320
20:16:33.843    Disk 0 Partition 4 00     83        Linux             10009 MB offset 84003948
20:16:33.843    Disk 0 Partition - 00     05     Extended              2047 MB offset 187478550
20:16:33.858    Disk 0 Partition 5 00     06        FAT16              2047 MB offset 104502888
20:16:33.858    Disk 0 Partition - 00     05     Extended             10009 MB offset 212170455
20:16:33.874    Disk 0 Partition 6 00     07    HPFS/NTFS NTFS        10009 MB offset 108695853
20:16:33.874    Disk 0 Partition - 00     05     Extended             10009 MB offset 236862360
20:16:33.889    Disk 0 Partition 7 00     07    HPFS/NTFS NTFS        10009 MB offset 129194793
20:16:33.889    Disk 0 Partition - 00     05     Extended             20002 MB offset 277860240
20:16:33.905    Disk 0 Partition 8 00     07    HPFS/NTFS NTFS        20002 MB offset 149693733
20:16:33.905    Disk 0 Partition - 00     05     Extended             20002 MB offset 339324930
20:16:33.921    Disk 0 Partition 9 00     07    HPFS/NTFS NTFS        20002 MB offset 190659483
20:16:33.936    Disk 0 scanning sectors +312560640
20:16:33.968    Disk 0 scanning D:\WINDOWS\system32\drivers
20:16:37.280    File: D:\WINDOWS\system32\drivers\afd.sys  **SUSPICIOUS**
20:16:41.015    Disk 0 trace - called modules:
20:16:41.030    ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xba2abfc0]<<
20:16:41.030    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x83f1fab8]
20:16:41.030    3 CLASSPNP.SYS[ba0f8fd7] -> nt!IofCallDriver -> [0x83876340]
20:16:41.030    \Driver\00000773[0x838be960] -> IRP_MJ_CREATE -> 0xba2abfc0
20:16:41.030    Scan finished successfully
20:17:07.265    Disk 0 MBR has been saved successfully to "D:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
20:17:07.281    The log file has been saved successfully to "D:\Dokumente und Einstellungen\***\Desktop\aswMBR2.txt"

edit:
zu3

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 08.02.2012 20:44:02 - Run 5
OTL by OldTimer - Version 3.2.31.0     Folder = D:\mnt\source
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,97 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 82,70% Memory free
4,91 Gb Paging File | 4,48 Gb Available in Paging File | 91,26% Paging File free
Paging file location(s): D:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 501,73 Mb Total Space | 68,54 Mb Free Space | 13,66% Space Free | Partition Type: FAT
Drive D: | 39,06 Gb Total Space | 7,55 Gb Free Space | 19,33% Space Free | Partition Type: NTFS
Drive G: | 3,73 Gb Total Space | 3,44 Gb Free Space | 92,06% Space Free | Partition Type: FAT32
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.02.06 22:36:09 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\mnt\source\OTL.exe
PRC - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) -- D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.06.23 23:40:36 | 000,077,824 | ---- | M] (Avid Technology, Inc..) -- D:\Programme\Digidesign\Drivers\MMERefresh.exe
PRC - [2010.06.21 18:23:10 | 001,923,592 | ---- | M] (M-Audio) -- D:\Programme\M-Audio\MobilePre\AudioDevMon.exe
PRC - [2010.06.17 20:56:44 | 000,370,176 | ---- | M] (shbox.de) -- D:\Programme\FreePDF_XP\fpassist.exe
PRC - [2009.12.18 01:31:52 | 001,551,712 | ---- | M] (Nullsoft) -- D:\Programme\Winamp\winamp.exe
PRC - [2009.06.18 08:29:12 | 000,635,416 | ---- | M] (PDF Complete Inc) -- D:\Programme\PDF Complete\pdfsvc.exe
PRC - [2008.09.01 08:43:40 | 000,241,136 | ---- | M] () -- D:\Programme\NTP\bin\ntpd.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\explorer.exe
PRC - [2002.10.30 16:09:50 | 000,073,728 | ---- | M] (Intel Corporation) -- D:\WINDOWS\system32\PROMon.exe
PRC - [2002.05.03 11:36:24 | 001,118,208 | ---- | M] (Intel Corporation) -- D:\WINDOWS\system32\NMSSvc.Exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.11.01 23:26:32 | 000,087,912 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2011.11.01 23:26:12 | 001,242,472 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2011.04.06 05:45:17 | 000,623,104 | ---- | M] () -- D:\Programme\Winamp\System\jnetlib.w5s
MOD - [2011.04.06 05:45:17 | 000,288,768 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_local.dll
MOD - [2011.04.06 05:45:17 | 000,237,056 | ---- | M] () -- D:\Programme\Winamp\System\aacPlusDecoder.w5s
MOD - [2011.04.06 05:45:17 | 000,212,480 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_pmp.dll
MOD - [2011.04.06 05:45:17 | 000,174,080 | ---- | M] () -- D:\Programme\Winamp\System\auth.w5s
MOD - [2011.04.06 05:45:17 | 000,154,624 | ---- | M] () -- D:\Programme\Winamp\System\jpeg.w5s
MOD - [2011.04.06 05:45:17 | 000,121,344 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_online.dll
MOD - [2011.04.06 05:45:17 | 000,115,200 | ---- | M] () -- D:\Programme\Winamp\Plugins\pmp_p4s.dll
MOD - [2011.04.06 05:45:17 | 000,113,152 | ---- | M] () -- D:\Programme\Winamp\Plugins\pmp_ipod.dll
MOD - [2011.04.06 05:45:17 | 000,090,112 | ---- | M] () -- D:\Programme\Winamp\System\xml.w5s
MOD - [2011.04.06 05:45:17 | 000,084,992 | ---- | M] () -- D:\Programme\Winamp\System\png.w5s
MOD - [2011.04.06 05:45:17 | 000,083,968 | ---- | M] () -- D:\Programme\Winamp\tataki.dll
MOD - [2011.04.06 05:45:17 | 000,083,968 | ---- | M] () -- D:\Programme\Winamp\System\playlist.w5s
MOD - [2011.04.06 05:45:17 | 000,081,920 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_playlists.dll
MOD - [2011.04.06 05:45:17 | 000,061,952 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_plg.dll
MOD - [2011.04.06 05:45:17 | 000,050,688 | ---- | M] () -- D:\Programme\Winamp\Plugins\out_ds.dll
MOD - [2011.04.06 05:45:17 | 000,050,176 | ---- | M] () -- D:\Programme\Winamp\Plugins\pmp_usb.dll
MOD - [2011.04.06 05:45:17 | 000,047,616 | ---- | M] () -- D:\Programme\Winamp\zlib.dll
MOD - [2011.04.06 05:45:17 | 000,035,840 | ---- | M] () -- D:\Programme\Winamp\System\timer.w5s
MOD - [2011.04.06 05:45:17 | 000,033,280 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_rg.dll
MOD - [2011.04.06 05:45:17 | 000,031,232 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_transcode.dll
MOD - [2011.04.06 05:45:17 | 000,022,016 | ---- | M] () -- D:\Programme\Winamp\Plugins\out_disk.dll
MOD - [2011.04.06 05:45:17 | 000,021,504 | ---- | M] () -- D:\Programme\Winamp\System\tagz.w5s
MOD - [2011.04.06 05:45:17 | 000,020,992 | ---- | M] () -- D:\Programme\Winamp\Plugins\pmp_njb.dll
MOD - [2011.04.06 05:45:17 | 000,019,456 | ---- | M] () -- D:\Programme\Winamp\System\gif.w5s
MOD - [2011.04.06 05:45:17 | 000,018,432 | ---- | M] () -- D:\Programme\Winamp\Plugins\out_wave.dll
MOD - [2011.04.06 05:45:17 | 000,018,432 | ---- | M] () -- D:\Programme\Winamp\System\bmp.w5s
MOD - [2011.04.06 05:45:17 | 000,016,384 | ---- | M] () -- D:\Programme\Winamp\System\gracenote.w5s
MOD - [2011.04.06 05:45:17 | 000,014,336 | ---- | M] () -- D:\Programme\Winamp\System\filereader.w5s
MOD - [2011.04.06 05:45:17 | 000,014,336 | ---- | M] () -- D:\Programme\Winamp\System\dlmgr.w5s
MOD - [2011.04.06 05:45:17 | 000,013,824 | ---- | M] () -- D:\Programme\Winamp\System\primo.w5s
MOD - [2011.04.06 05:45:16 | 000,311,808 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_wm.dll
MOD - [2011.04.06 05:45:16 | 000,284,160 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_mp3.dll
MOD - [2011.04.06 05:45:16 | 000,217,088 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_vorbis.dll
MOD - [2011.04.06 05:45:16 | 000,198,144 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_disc.dll
MOD - [2011.04.06 05:45:16 | 000,162,304 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_mod.dll
MOD - [2011.04.06 05:45:16 | 000,107,008 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_midi.dll
MOD - [2011.04.06 05:45:16 | 000,102,400 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_cdda.dll
MOD - [2011.04.06 05:45:16 | 000,074,240 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_nsv.dll
MOD - [2011.04.06 05:45:16 | 000,074,240 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_dshow.dll
MOD - [2011.04.06 05:45:16 | 000,066,560 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_avi.dll
MOD - [2011.04.06 05:45:16 | 000,057,344 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_flac.dll
MOD - [2011.04.06 05:45:16 | 000,053,248 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_impex.dll
MOD - [2011.04.06 05:45:16 | 000,048,640 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_mkv.dll
MOD - [2011.04.06 05:45:16 | 000,048,128 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_history.dll
MOD - [2011.04.06 05:45:16 | 000,044,032 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_mp4.dll
MOD - [2011.04.06 05:45:16 | 000,041,984 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_flv.dll
MOD - [2011.04.06 05:45:16 | 000,028,672 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_autotag.dll
MOD - [2011.04.06 05:45:16 | 000,023,040 | ---- | M] () -- D:\Programme\Winamp\Plugins\ml_bookmarks.dll
MOD - [2011.04.06 05:45:16 | 000,023,040 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_swf.dll
MOD - [2011.04.06 05:45:16 | 000,016,384 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_wave.dll
MOD - [2011.04.06 05:45:16 | 000,007,168 | ---- | M] () -- D:\Programme\Winamp\Plugins\in_linein.dll
MOD - [2011.04.06 05:45:15 | 001,735,680 | ---- | M] () -- D:\Programme\Winamp\Plugins\gen_ff.dll
MOD - [2011.04.06 05:45:15 | 000,304,640 | ---- | M] () -- D:\Programme\Winamp\Plugins\gen_ml.dll
MOD - [2011.04.06 05:45:15 | 000,245,760 | ---- | M] () -- D:\Programme\Winamp\libsndfile.dll
MOD - [2011.04.06 05:45:15 | 000,212,480 | ---- | M] () -- D:\Programme\Winamp\Plugins\gen_jumpex.dll
MOD - [2011.04.06 05:45:15 | 000,076,288 | ---- | M] () -- D:\Programme\Winamp\nde.dll
MOD - [2011.04.06 05:45:15 | 000,057,344 | ---- | M] () -- D:\Programme\Winamp\Plugins\gen_orgler.dll
MOD - [2011.04.06 05:45:15 | 000,052,224 | ---- | M] () -- D:\Programme\Winamp\nsutil.dll
MOD - [2011.04.06 05:45:15 | 000,026,624 | ---- | M] () -- D:\Programme\Winamp\Plugins\gen_hotkeys.dll
MOD - [2011.04.06 05:45:15 | 000,024,064 | ---- | M] () -- D:\Programme\Winamp\Plugins\gen_tray.dll
MOD - [2010.06.17 20:56:52 | 000,116,224 | ---- | M] () -- D:\WINDOWS\system32\redmonnt.dll
MOD - [2009.08.23 18:58:06 | 000,094,208 | ---- | M] () -- D:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll
MOD - [2007.10.26 08:04:40 | 000,068,080 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\DLLShared\dlaapi_w.dll
MOD - [2007.09.20 17:34:58 | 000,129,024 | ---- | M] () -- D:\Programme\WinRAR\RarExt.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - [2011.10.27 10:34:30 | 000,718,384 | ---- | M] (Nokia) [On_Demand | Stopped] -- D:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.06.23 23:40:36 | 000,077,824 | ---- | M] (Avid Technology, Inc..) [Auto | Running] -- D:\Programme\Digidesign\Drivers\MMERefresh.exe -- (DigiRefresh)
SRV - [2010.06.21 18:23:10 | 001,923,592 | ---- | M] (M-Audio) [Auto | Running] -- D:\Programme\M-Audio\MobilePre\AudioDevMon.exe -- (MobilePreIIAudioDevMon)
SRV - [2009.06.18 08:29:12 | 000,635,416 | ---- | M] (PDF Complete Inc) [Auto | Running] -- D:\Programme\PDF Complete\pdfsvc.exe -- (pdfcDispatcher)
SRV - [2008.10.24 14:35:44 | 000,128,296 | ---- | M] () [On_Demand | Stopped] -- D:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2008.09.01 08:43:40 | 000,241,136 | ---- | M] () [Auto | Running] -- D:\Programme\NTP\bin\ntpd.exe -- (NTP)
SRV - [2008.04.14 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- D:\WINDOWS\system32\s217mgmt.dll -- (symsecureport)
SRV - [2002.05.03 11:36:24 | 001,118,208 | ---- | M] (Intel Corporation) [Auto | Running] -- D:\WINDOWS\system32\NMSSvc.Exe -- (NMSSvc) Intel(R)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.08.17 13:03:58 | 000,137,472 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2011.08.17 13:03:50 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2011.08.17 12:56:32 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011.08.17 12:56:30 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011.08.17 12:56:26 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2011.08.17 09:56:22 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2011.03.18 12:46:26 | 000,061,704 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS)
DRV - [2011.03.18 12:46:10 | 000,073,096 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K)
DRV - [2011.02.11 22:23:34 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\npf.sys -- (npf)
DRV - [2010.12.18 12:03:56 | 000,021,696 | ---- | M] (Almico Software) [Kernel | Boot | Running] -- D:\WINDOWS\system32\speedfan.sys -- (speedfan)
DRV - [2010.06.21 18:23:00 | 000,454,792 | ---- | M] (M-Audio) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\MAudioMobilePreII.sys -- (MAUSBMOBILEPREII)
DRV - [2009.12.23 10:32:26 | 000,086,016 | ---- | M] (PACE Anti-Piracy, Inc.) [Kernel | Boot | Running] -- D:\WINDOWS\System32\drivers\TPkd.sys -- (TPkd)
DRV - [2009.11.19 13:33:20 | 000,051,200 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2009.09.18 13:32:06 | 000,045,184 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel(R)
DRV - [2008.08.26 10:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.07.23 10:31:38 | 000,044,800 | ---- | M] (Infineon Technologies AG) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\ifxtpm.sys -- (IFXTPM)
DRV - [2008.06.06 08:15:40 | 000,098,816 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\baspxp32.sys -- (Blfp)
DRV - [2008.04.14 13:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008.04.13 23:15:34 | 000,011,520 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\scsiscan.sys -- (scsiscan)
DRV - [2008.03.28 10:14:02 | 000,024,064 | ---- | M] (Sonic Focus, Inc) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\sfaudio.sys -- (SFAUDIO)
DRV - [2007.10.26 09:05:30 | 000,009,104 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLADResM.SYS -- (DLADResM)
DRV - [2007.10.26 09:04:58 | 000,037,360 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLABMFSM.SYS -- (DLABMFSM)
DRV - [2007.10.26 09:04:56 | 000,093,584 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2007.10.26 09:04:52 | 000,098,480 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2007.10.26 09:04:50 | 000,032,848 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2007.10.26 09:04:50 | 000,027,216 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2007.10.26 09:04:46 | 000,016,304 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2007.10.26 09:04:44 | 000,108,752 | ---- | M] (Roxio) [File_System | Auto | Running] -- D:\WINDOWS\system32\drivers\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2007.07.23 13:49:44 | 000,030,064 | ---- | M] (Roxio) [File_System | System | Running] -- D:\WINDOWS\system32\drivers\DLARTL_M.SYS -- (DLARTL_M)
DRV - [2007.07.23 13:49:44 | 000,014,576 | ---- | M] (Roxio) [Kernel | Boot | Running] -- D:\WINDOWS\System32\Drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2003.11.04 12:30:06 | 000,025,294 | ---- | M] (CANON INC.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CNMFWC.sys -- (CNMFWC)
DRV - [2003.10.24 01:07:38 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
DRV - [2002.05.03 11:36:44 | 000,009,868 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\NMSCFG.SYS -- (NMSCFG)
DRV - [1996.04.03 20:33:26 | 000,005,248 | ---- | M] () [Kernel | Boot | Running] -- D:\WINDOWS\system32\giveio.sys -- (giveio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0A 50 4E BB F9 E4 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.heise.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3
FF - prefs.js..extensions.enabledItems: elemhidehelper@adblockplus.org:1.1.4
FF - prefs.js..extensions.enabledItems: {dd3d7613-0246-469d-bc65-2a3cc1668adc}:0.7.1.1
FF - prefs.js..extensions.enabledItems: fsonlinescanner@f-secure.com:1.01
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.3.6
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.15.1
FF - prefs.js..extensions.enabledItems: 2020Player@2020Technologies.com:4.5.2.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: exif_viewer@mozilla.doslash.org:1.70
FF - prefs.js..extensions.enabledItems: {e968fc70-8f95-4ab9-9e79-304de2a71ee1}:0.7.3
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.6.0.8153
FF - prefs.js..extensions.enabledItems: 2020Player_IKEA@2020Technologies.com:5.0.7.0
FF - prefs.js..extensions.enabledItems: fe_3.6@nokia.com:1.7.56.205
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 81
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: D:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@innoplus.de/ino3DViewer: D:\Programme\innoplus\3D-Viewer-innoPlus\npIno3DViewer.dll (INNOVA-engineering GmbH Dresden)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: d:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: d:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: D:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: D:\Programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\fe_3.6@nokia.com: D:\Programme\Nokia\Nokia Suite\Connectors\Bookmarks Connector\FirefoxExtension_3.6 [2011.11.21 17:36:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Components: D:\Programme\Mozilla Firefox\components [2011.12.28 10:38:44 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2011.12.22 12:55:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\SeaMonkey 1.1.19\Extensions\\Components: D:\Programme\mozilla.org\SeaMonkey\Components [2011.07.02 10:54:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\SeaMonkey 1.1.19\Extensions\\Plugins: D:\Programme\mozilla.org\SeaMonkey\Plugins [2011.04.24 19:18:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\te_7.0@nokia.com: D:\Programme\Nokia\Nokia Suite\Connectors\Thunderbird Connector\ThunderbirdExtension_7.0 [2011.11.21 17:36:50 | 000,000,000 | ---D | M]
 
[2011.04.11 20:58:28 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2011.04.11 20:58:28 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{92650c4d-4b8e-4d2a-b7eb-24ecf4f6b63a}
[2012.02.03 20:58:57 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions
[2012.01.08 18:00:43 | 000,000,000 | ---D | M] (FlashGot) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2011.07.24 18:41:48 | 000,000,000 | ---D | M] (Flashblock) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
[2012.01.08 18:00:41 | 000,000,000 | ---D | M] (NoScript) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2012.01.08 18:00:42 | 000,000,000 | ---D | M] (Adblock Plus) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.04.11 20:58:25 | 000,000,000 | ---D | M] (BlockSite) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{dd3d7613-0246-469d-bc65-2a3cc1668adc}
[2011.07.02 09:44:17 | 000,000,000 | ---D | M] (User Agent Switcher) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1}
[2011.04.11 20:58:27 | 000,000,000 | ---D | M] (20-20 3D Viewer) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\2020Player@2020Technologies.com
[2011.09.22 18:05:27 | 000,000,000 | ---D | M] (20-20 3D Viewer - IKEA) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\2020Player_IKEA@2020Technologies.com
[2012.01.08 18:00:43 | 000,000,000 | ---D | M] (Element Hiding Helper for Adblock Plus) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\elemhidehelper@adblockplus.org
[2011.10.18 22:48:58 | 000,000,000 | ---D | M] ("Exif Viewer") -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\exif_viewer@mozilla.doslash.org
[2011.04.11 20:58:27 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vsxd5krh.default\extensions\fsonlinescanner@f-secure.com
[2011.04.11 20:58:14 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\muc00653\psv2qcsl.slt\extensions
[2011.04.11 20:58:14 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\muc00653\psv2qcsl.slt\extensions\{3cd27e92-1a30-11da-94c6-00e08161165f}
[2012.02.03 21:08:53 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions
[2011.08.22 06:07:15 | 000,000,000 | ---D | M] (Click to call with Skype) -- D:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2011.04.06 22:37:05 | 000,000,000 | ---D | M] (Java Console) -- D:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.10.09 07:48:14 | 000,000,000 | ---D | M] (Java Quick Starter) -- D:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.11.21 17:36:50 | 000,000,000 | ---D | M] (Firefox Synchronisation Extension) -- D:\PROGRAMME\NOKIA\NOKIA SUITE\CONNECTORS\BOOKMARKS CONNECTOR\FIREFOXEXTENSION_3.6
[2012.01.23 13:24:32 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- D:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.04.11 21:08:03 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- D:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2009.12.18 01:31:54 | 000,063,488 | ---- | M] (Nullsoft) -- D:\Programme\mozilla firefox\plugins\npwachk.dll
[2011.09.13 19:08:08 | 000,001,392 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.13 19:08:08 | 000,002,344 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.13 19:08:08 | 000,006,805 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.13 19:08:08 | 000,001,178 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.13 19:08:08 | 000,001,105 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [APSDaemon] D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [DigidesignMMERefresh] D:\Programme\Digidesign\Drivers\MMERefresh.exe (Avid Technology, Inc..)
O4 - HKLM..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [PROMon.exe] D:\WINDOWS\System32\PROMon.exe (Intel Corporation)
O4 - HKCU..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - D:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - D:\Programme\Bonjour\mdnsNSP.dll File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{70F35C8C-A678-4D72-8BD6-3FC50C093773}: DhcpNameServer = 192.168.0.254
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - D:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\userinit.exe) -D:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.01.30 22:56:52 | 000,000,732 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT ]
O32 - AutoRun File - [2000.09.02 08:56:14 | 000,000,745 | ---- | M] () - C:\autoexec.bak -- [ FAT ]
O32 - AutoRun File - [2000.07.26 22:02:32 | 000,000,710 | ---- | M] () - C:\autoexec.dos -- [ FAT ]
O32 - AutoRun File - [2000.08.01 23:47:20 | 000,000,778 | ---- | M] () - C:\autoexec.pss -- [ FAT ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.02.08 20:16:17 | 004,733,440 | ---- | C] (AVAST Software) -- D:\Dokumente und Einstellungen\***\Desktop\aswMBR.exe
[2012.02.07 19:57:48 | 000,000,000 | ---D | C] -- D:\TDSSKiller_Quarantine
[2012.02.07 19:53:17 | 002,060,336 | ---- | C] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\***\Desktop\TDSSKiller.exe
[2012.02.07 07:41:08 | 000,000,000 | ---D | C] -- D:\Programme\ESET
[2012.02.06 08:44:11 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2012.02.06 08:08:07 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2012.02.06 08:08:04 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2012.01.23 13:25:19 | 000,000,000 | -HSD | C] -- D:\Config.Msi
[2012.01.22 19:15:54 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\XPSViewer
[2012.01.22 19:15:49 | 000,000,000 | ---D | C] -- D:\Programme\MSBuild
[2012.01.22 19:15:48 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\en-US
[2012.01.22 19:15:42 | 000,000,000 | ---D | C] -- D:\Programme\Reference Assemblies
[2012.01.22 19:15:20 | 001,676,288 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\xpssvcs.dll
[2012.01.22 19:15:20 | 001,676,288 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\dllcache\xpssvcs.dll
[2012.01.22 19:15:20 | 000,597,504 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\dllcache\printfilterpipelinesvc.exe
[2012.01.22 19:15:20 | 000,575,488 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\dllcache\xpsshhdr.dll
[2012.01.22 19:15:20 | 000,117,760 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\prntvpt.dll
[2012.01.22 19:15:20 | 000,089,088 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\dllcache\filterpipelineprintproc.dll
[2012.01.22 19:15:20 | 000,000,000 | ---D | C] -- D:\a0d2243c27e3ff2b71
[2012.01.22 19:10:39 | 000,000,000 | ---D | C] -- D:\Programme\iPhoneBrowser
[2012.01.22 19:10:39 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iPhoneBrowser
[2012.01.22 11:16:34 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\libimobiledevice
[2012.01.22 11:04:07 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2012.01.22 11:04:06 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
[2012.01.22 11:04:00 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2012.01.22 11:03:59 | 000,107,368 | ---- | C] (GEAR Software Inc.) -- D:\WINDOWS\System32\GEARAspi.dll
[2012.01.22 11:03:17 | 000,000,000 | ---D | C] -- D:\Programme\iPod
[2012.01.22 11:03:13 | 000,000,000 | ---D | C] -- D:\Programme\iTunes
[2012.01.22 11:03:13 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
[2012.01.22 11:03:13 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012.01.22 11:03:01 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Apple
[2012.01.22 11:03:00 | 000,000,000 | ---D | C] -- D:\Programme\Apple Software Update
[2012.01.22 11:02:57 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Apple Computer
[2012.01.22 11:02:51 | 004,517,664 | ---- | C] (Apple, Inc.) -- D:\WINDOWS\System32\usbaaplrc.dll
[2012.01.22 11:02:15 | 000,000,000 | ---D | C] -- D:\Programme\Bonjour
[2012.01.22 11:02:00 | 000,000,000 | ---D | C] -- D:\Programme\Gemeinsame Dateien\Apple
[2012.01.22 11:02:00 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[3 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.02.08 20:17:07 | 000,000,512 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Desktop\MBR.dat
[2012.02.08 19:58:03 | 000,054,016 | ---- | M] () -- D:\WINDOWS\System32\drivers\xnqjiweo.sys
[2012.02.08 19:54:10 | 000,001,084 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.02.08 18:06:32 | 000,012,598 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl
[2012.02.08 18:06:27 | 000,001,080 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.02.08 18:05:59 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat
[2012.02.08 06:58:26 | 000,460,664 | ---- | M] () -- D:\WINDOWS\System32\perfh007.dat
[2012.02.08 06:58:26 | 000,442,602 | ---- | M] () -- D:\WINDOWS\System32\perfh009.dat
[2012.02.08 06:58:26 | 000,085,396 | ---- | M] () -- D:\WINDOWS\System32\perfc007.dat
[2012.02.08 06:58:26 | 000,071,868 | ---- | M] () -- D:\WINDOWS\System32\perfc009.dat
[2012.02.08 06:46:19 | 000,057,728 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\System32\dllcache\redbook.sys
[2012.02.07 20:22:00 | 000,000,484 | ---- | M] () -- D:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2012.02.07 19:58:56 | 000,009,592 | ---- | M] () -- D:\WINDOWS\mozver.dat
[2012.02.07 15:15:44 | 002,060,336 | ---- | M] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\***\Desktop\TDSSKiller.exe
[2012.02.07 07:53:44 | 000,004,804 | ---- | M] () -- D:\WINDOWS\System32\d3d9caps.dat
[2012.02.07 07:01:29 | 000,000,000 | -HS- | M] () -- D:\WINDOWS\System32\dds_trash_log.cmd
[2012.02.06 21:50:03 | 004,733,440 | ---- | M] (AVAST Software) -- D:\Dokumente und Einstellungen\***\Desktop\aswMBR.exe
[2012.02.06 09:30:50 | 000,001,000 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\sptd.reg
[2012.02.06 07:59:06 | 000,000,756 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.02.06 07:51:42 | 006,157,039 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\history.rtf
[2012.02.06 07:16:36 | 000,064,013 | ---- | M] () -- D:\Dokumente und Einstellungen\***\.recently-used.xbel
[2012.02.02 16:00:05 | 000,000,424 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit Eigene Dateien.lnk
[2012.01.23 13:27:04 | 000,001,374 | ---- | M] () -- D:\WINDOWS\imsins.BAK
[2012.01.22 21:30:17 | 000,144,424 | ---- | M] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2012.01.22 18:49:46 | 000,000,600 | ---- | M] () -- D:\Dokumente und Einstellungen\***\PUTTY.RND
[2012.01.22 12:51:50 | 695,604,079 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\NO_BB_OLDROM_iPhone2,1_5.0_9A334_Restore.ipsw
[2012.01.22 12:33:03 | 701,195,503 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\iPhone2,1_5.0_9A334_Restore.ipsw
[3 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.02.08 19:58:03 | 000,054,016 | ---- | C] () -- D:\WINDOWS\System32\drivers\xnqjiweo.sys
[2012.02.06 22:08:08 | 000,000,512 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Desktop\MBR.dat
[2012.02.06 09:30:50 | 000,001,000 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\sptd.reg
[2012.02.06 07:59:06 | 000,000,756 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.02.06 07:51:42 | 006,157,039 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\history.rtf
[2012.02.06 07:36:56 | 000,000,000 | -HS- | C] () -- D:\WINDOWS\System32\dds_trash_log.cmd
[2012.02.06 07:16:36 | 000,064,013 | ---- | C] () -- D:\Dokumente und Einstellungen\***\.recently-used.xbel
[2012.02.02 16:00:05 | 000,000,424 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit Eigene Dateien.lnk
[2012.01.22 12:50:59 | 695,604,079 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\NO_BB_OLDROM_iPhone2,1_5.0_9A334_Restore.ipsw
[2012.01.22 12:48:19 | 701,195,503 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Eigene Dateien\iPhone2,1_5.0_9A334_Restore.ipsw
[2012.01.22 11:03:00 | 000,001,830 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Apple Software Update.lnk
[2011.07.26 06:22:53 | 000,217,088 | ---- | C] () -- D:\WINDOWS\System32\qtmlClient.dll
[2011.07.18 18:50:53 | 000,003,776 | ---- | C] () -- D:\WINDOWS\System32\fxsperf.ini
[2011.06.23 09:10:39 | 000,000,002 | ---- | C] () -- D:\WINDOWS\tm.ini
[2011.06.14 21:51:09 | 000,044,544 | ---- | C] () -- D:\WINDOWS\System32\Gif89.dll
[2011.05.29 09:49:27 | 000,003,260 | ---- | C] () -- D:\WINDOWS\System32\d3d8caps.dat
[2011.05.08 12:10:42 | 000,004,804 | ---- | C] () -- D:\WINDOWS\System32\d3d9caps.dat
[2011.04.15 20:44:13 | 000,116,224 | ---- | C] () -- D:\WINDOWS\System32\redmonnt.dll
[2011.04.15 20:44:13 | 000,045,056 | ---- | C] () -- D:\WINDOWS\System32\unredmon.exe
[2011.04.13 06:14:45 | 000,000,064 | ---- | C] () -- D:\WINDOWS\System32\rp_stats.dat
[2011.04.13 06:14:45 | 000,000,044 | ---- | C] () -- D:\WINDOWS\System32\rp_rules.dat
[2011.04.12 19:48:30 | 000,000,054 | ---- | C] () -- D:\WINDOWS\setihome.ini
[2011.04.12 07:16:34 | 000,000,232 | ---- | C] () -- D:\WINDOWS\wininit.ini
[2011.04.12 07:07:21 | 000,007,680 | ---- | C] () -- D:\WINDOWS\System32\CNMVS5x.DLL
[2011.04.11 21:50:09 | 000,000,035 | ---- | C] () -- D:\WINDOWS\InfModM.ini
[2011.04.11 21:06:58 | 000,127,488 | ---- | C] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.11 20:42:27 | 000,220,944 | ---- | C] () -- D:\WINDOWS\SeaMonkeyUninstall.exe
[2011.04.11 20:42:20 | 000,118,784 | ---- | C] () -- D:\WINDOWS\GREUninstall.exe
[2011.04.11 20:42:20 | 000,009,592 | ---- | C] () -- D:\WINDOWS\mozver.dat
[2011.04.06 05:35:14 | 000,147,456 | ---- | C] () -- D:\WINDOWS\System32\igfxCoIn_v5016.dll
[2011.04.05 20:44:10 | 000,000,335 | ---- | C] () -- D:\WINDOWS\nsreg.dat
[2011.04.05 20:01:59 | 000,004,161 | ---- | C] () -- D:\WINDOWS\ODBCINST.INI
[2011.04.05 20:00:45 | 000,144,424 | ---- | C] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.05 19:12:11 | 000,002,048 | --S- | C] () -- D:\WINDOWS\bootstat.dat
[2011.04.05 19:07:29 | 000,021,740 | ---- | C] () -- D:\WINDOWS\System32\emptyregdb.dat
[2011.02.11 22:23:34 | 000,053,299 | ---- | C] () -- D:\WINDOWS\System32\pthreadVC.dll
[2008.04.14 13:00:00 | 013,107,200 | ---- | C] () -- D:\WINDOWS\System32\oembios.bin
[2008.04.14 13:00:00 | 000,673,088 | ---- | C] () -- D:\WINDOWS\System32\mlang.dat
[2008.04.14 13:00:00 | 000,460,664 | ---- | C] () -- D:\WINDOWS\System32\perfh007.dat
[2008.04.14 13:00:00 | 000,442,602 | ---- | C] () -- D:\WINDOWS\System32\perfh009.dat
[2008.04.14 13:00:00 | 000,272,128 | ---- | C] () -- D:\WINDOWS\System32\perfi009.dat
[2008.04.14 13:00:00 | 000,269,480 | ---- | C] () -- D:\WINDOWS\System32\perfi007.dat
[2008.04.14 13:00:00 | 000,218,003 | ---- | C] () -- D:\WINDOWS\System32\dssec.dat
[2008.04.14 13:00:00 | 000,085,396 | ---- | C] () -- D:\WINDOWS\System32\perfc007.dat
[2008.04.14 13:00:00 | 000,071,868 | ---- | C] () -- D:\WINDOWS\System32\perfc009.dat
[2008.04.14 13:00:00 | 000,046,258 | ---- | C] () -- D:\WINDOWS\System32\mib.bin
[2008.04.14 13:00:00 | 000,034,478 | ---- | C] () -- D:\WINDOWS\System32\perfd007.dat
[2008.04.14 13:00:00 | 000,028,626 | ---- | C] () -- D:\WINDOWS\System32\perfd009.dat
[2008.04.14 13:00:00 | 000,004,569 | ---- | C] () -- D:\WINDOWS\System32\secupd.dat
[2008.04.14 13:00:00 | 000,004,461 | ---- | C] () -- D:\WINDOWS\System32\oembios.dat
[2008.04.14 13:00:00 | 000,001,804 | ---- | C] () -- D:\WINDOWS\System32\Dcache.bin
[2008.04.14 13:00:00 | 000,000,741 | ---- | C] () -- D:\WINDOWS\System32\noise.dat
[2002.03.26 07:36:48 | 000,069,632 | ---- | C] () -- D:\WINDOWS\System32\PROInst.dll
[2002.02.06 08:04:14 | 000,065,536 | ---- | C] () -- D:\WINDOWS\System32\NMSInst.dll
[1996.04.03 20:33:26 | 000,005,248 | ---- | C] () -- D:\WINDOWS\System32\giveio.sys
 
========== LOP Check ==========
 
[2011.04.12 06:03:04 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2011.04.11 21:46:27 | 000,000,000 | -H-D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anwendungsdaten
[2011.04.12 06:03:23 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2011.04.12 07:16:34 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonCP
[2011.04.15 20:44:12 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2011.04.24 21:34:58 | 000,000,000 | -HSD | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HHD Software Hex Editor 4
[2011.11.21 17:36:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
[2011.11.21 17:21:13 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache
[2011.07.26 06:53:45 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
[2011.04.28 20:29:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PassMark
[2011.11.21 17:38:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2012.02.04 06:46:14 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PDFC
[2012.01.22 11:03:58 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.04.11 20:58:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\AAV
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\ASAP Utilities
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\com.adobe.example.avatarAirApplication.199ED43C2CFEB351CD0244628B93195D7C58F98C.1
[2011.07.26 07:01:42 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Digidesign
[2011.12.03 21:23:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\ESBCalc
[2012.01.22 20:18:36 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
[2011.06.14 20:54:32 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Flash Undelete Software
[2011.11.17 21:52:58 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Foxit Software
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\FRISK Software
[2012.01.15 23:38:05 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2011.04.11 20:58:46 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\HSETU
[2011.04.11 20:58:45 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech
[2011.04.12 20:35:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\LibreOffice
[2011.04.11 20:58:28 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\MobileAction
[2011.11.21 17:43:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
[2011.11.21 17:43:09 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia Suite
[2011.04.11 20:55:37 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Suite
[2011.04.11 20:55:35 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Shareaza
[2011.04.11 20:55:28 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Wireshark
[2012.02.07 20:22:00 | 000,000,484 | ---- | M] () -- D:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 8380 bytes -> D:\Dokumente und Einstellungen\***\Eigene Dateien\Hausdach.JPG:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 7380 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Schwimmbeck Hausgeräte und Service GmbH.URL:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6368 bytes -> D:\Dokumente und Einstellungen\***\Desktop\antrag2005_fes_stand_08_05.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6296 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Einladung 45.Geburtstag.Geburtstag.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5496 bytes -> D:\Dokumente und Einstellungen\***\Desktop\SDIM1399.JPG:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 48 bytes -> D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت
@Alternate Data Stream - 4504 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Handbremsklötze Voyager.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4008 bytes -> D:\Dokumente und Einstellungen\***\Desktop\foerderrichtlinien_fes-1.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 16756 bytes -> D:\Dokumente und Einstellungen\***\Desktop\monitortest.bmp:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 13940 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Campingplatz Seewiese.URL:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 1223 bytes -> D:\Programme\WindowsUpdate:NsSJ8uSt7jjD6GiakbXGfKV0
@Alternate Data Stream - 1214 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:G7uOsGqLT9TlGjKNalsc9EQ
@Alternate Data Stream - 1183 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:UF6VKtLfbx5A1kiJvTaVPQ3
@Alternate Data Stream - 1167 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:6k2YZJXNQhlPMq91ookcrhdi0J6qq
@Alternate Data Stream - 1151 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:pOZIboR0l8kv9yYb30
@Alternate Data Stream - 1143 bytes -> D:\Programme\Outlook Express:OeAy2al2ITkF9gkTBhcREVEjTRJY
@Alternate Data Stream - 10504 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Whois.Net.URL:Q30lsldxJoudresxAaaqpcawXc

< End of report >

--- --- ---

extra.txt
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 08.02.2012 20:44:02 - Run 5
OTL by OldTimer - Version 3.2.31.0     Folder = D:\mnt\source
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,97 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 82,70% Memory free
4,91 Gb Paging File | 4,48 Gb Available in Paging File | 91,26% Paging File free
Paging file location(s): D:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 501,73 Mb Total Space | 68,54 Mb Free Space | 13,66% Space Free | Partition Type: FAT
Drive D: | 39,06 Gb Total Space | 7,55 Gb Free Space | 19,33% Space Free | Partition Type: NTFS
Drive G: | 3,73 Gb Total Space | 3,44 Gb Free Space | 92,06% Space Free | Partition Type: FAT32
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = MozillaHTML] -- D:\Programme\mozilla.org\SeaMonkey\seamonkey.exe (mozilla.org)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- D:\PROGRA~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
https [open] -- D:\PROGRA~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5900:TCP" = 5900:TCP:*:Enabled:vnc5900
"5800:TCP" = 5800:TCP:*:Enabled:vnc5800
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\UltraVNC\winvnc.exe" = D:\Programme\UltraVNC\winvnc.exe:*:Enabled:winvnc.exe -- (UltraVNC)
"D:\Programme\UltraVNC\vncviewer.exe" = D:\Programme\UltraVNC\vncviewer.exe:*:Enabled:vncviewer.exe -- (UltraVNC)
"D:\Programme\Shareaza\Shareaza.exe" = D:\Programme\Shareaza\Shareaza.exe:*:Enabled:Shareaza -- (Shareaza Development Team)
"D:\Programme\Google\Google Earth\client\googleearth.exe" = D:\Programme\Google\Google Earth\client\googleearth.exe:*:Disabled:Google Earth -- (Google)
"D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{18189552-78C0-11DF-AE5E-CBF1DED72085}" = M-Audio MobilePre Driver 1.0.4 (x86)
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{25613C10-27D2-410B-942B-D922D5C3A7BE}" = Interlok driver setup x32
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{2F4C24E6-CBD4-4AAC-B56F-C9FD44DE5668}" = Roxio Drag-to-Disc
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{371F27A1-9502-4762-AE97-1C1938B21055}" = Avid Pro Tools SE 8.0.3
"{55EB7967-5BB1-4EA2-8AFF-B2F9E487E553}" = PC Connectivity Solution
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6EC5D2BB-C70D-4A1E-9E0E-384568CA5E97}" = Intel(R) PRO Intelligent Installer
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7AAA00C4-26E6-4EC0-8069-955B0A9D6009}" = Intel(R) Network Connections 15.2.89.2
"{7BB045C3-D5E4-4620-B536-DC11AACD5942}" = Broadcom Management Programs
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89B078C4-50B0-453E-BF53-3A7E6A0D85FA}" = Windows Support Tools
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A367C28-423C-48E2-8C76-EBA1171F932A}" = Adobe Photoshop Album 2.0
"{91B323B5-A79C-4D23-BD6D-046C565F9BCF}" = MadOnion.com/3DMark2001 SE
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F5FD796-86F0-4360-85F8-D54C0F5411EB}" = Steuer-Spar-Erklärung 2011
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero - Burning Rom
"{A89131FD-3D18-4DA8-84C8-622423011B51}_is1" = ALNO AG  Küchenplaner
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{AF88496B-4BBA-4922-97E9-2582D3A28358}" = Nokia Connectivity Cable Driver
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Click to Call with Skype
"{B96DB037-DBEA-4186-9081-9CBD537F82E8}" = 3D-Viewer-innoplus
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1FCDCA1-2759-4E5E-84EE-3A665BB2F513}" = iPhoneBrowser
"{C9A87D86-FDFD-418B-BF96-EF09320973B3}" = PC Inspector smart recovery
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE518445-0054-44F8-8315-2AD45BF3701E}" = Raw Therapee V4.0.4.2 x86
"{D64833F8-860D-4216-8EDC-DD08AD68C0B5}" = LibreOffice 3.4
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{DB24A9E5-A068-43DD-88D0-B51BED3C0B99}" = Nokia Suite
"{DBBE5C26-72B7-4E01-950D-86BDE35918ED}" = Embedded Security for HP ProtectTools Driver
"{E3B64CC5-C011-40C0-92BC-7316CD5E5688}" = Microsoft_VC100_CRT_SP1_x86
"{E8C23EBE-EE3C-4299-9DB9-601AB3751454}" = AAVUpdateManager
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0A55445-B637-4CEA-A580-A8FC6954130D}" = HP Client Management Interface Providers
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F6D6B258-E3CA-4AAC-965A-68D3E3140A8C}" = iTunes
"{FA237125-51FF-408C-8BB8-30C2B3DFFF9C}" = Windows Resource Kit Tools
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"BurnInTest_is1" = BurnInTest v6.0 Pro
"CANONBJ_Deinstall_CNMCP5x.DLL" = Canon i9950
"ESBCalc6_is1" = ESBCalc
"ESET Online Scanner" = ESET Online Scanner v3
"FileZilla Client" = FileZilla Client 3.2.7.1
"FotoLook3DeinstKey" = Agfa FotoLook 3.60.00 
"Foxit Reader_is1" = Foxit Reader 5.1
"FreeCommander_is1" = FreeCommander 2009.02b
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.71" = GPL Ghostscript 8.71
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HECI" = Intel(R) Management Engine Interface
"Horlands Scan2Pdf_is1" = Horland's Scan2Pdf
"ie8" = Windows Internet Explorer 8
"ImgBurn" = ImgBurn
"Logoi Hellenikoi_is1" = Logoi Hellenikoi Version 1.1
"Macromedia Shockwave Player" = Macromedia Shockwave Player
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MozBackup" = MozBackup 1.5.1
"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)
"Nmap" = Nmap 5.51
"Nokia Suite" = Nokia Suite
"NTP" = Network Time Protocol
"PDF Complete" = PDF Complete Special Edition
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SeaMonkey (1.1.19)" = SeaMonkey (1.1.19)
"Shareaza_is1" = Shareaza Version 2.2.1.0
"SP46137" = HP Softpaq SP46137 
"SpeedFan" = SpeedFan (remove only)
"Ultravnc2_is1" = UltraVNC 1.0.8.2
"ViewpointMediaPlayer" = Viewpoint Media Player
"VLC media player" = VLC media player 1.1.11
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinPcapInst" = WinPcap 4.1.2
"WinRAR archiver" = WinRAR
"Wireshark" = Wireshark 0.99.7
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01009" = Microsoft User-Mode Driver Framework Feature Pack 1.9
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{8EB85C0E-DE7D-4A53-BD66-708B8F2C80B0}" = HHD Software Hex Editor Neo 4.97
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 08.02.2012 15:13:38 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 0.de.pool.ntp.org
 
Error - 08.02.2012 15:13:38 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 1.de.pool.ntp.org
 
Error - 08.02.2012 15:13:38 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 2.de.pool.ntp.org
 
Error - 08.02.2012 15:13:38 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 1.nl.pool.ntp.org
 
Error - 08.02.2012 15:13:38 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 2.uk.pool.ntp.org
 
Error - 08.02.2012 15:29:40 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 0.de.pool.ntp.org
 
Error - 08.02.2012 15:29:40 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 1.de.pool.ntp.org
 
Error - 08.02.2012 15:29:40 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 2.de.pool.ntp.org
 
Error - 08.02.2012 15:29:40 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 1.nl.pool.ntp.org
 
Error - 08.02.2012 15:29:40 | Computer Name = *** | Source = NTP | ID = 1
Description = Address not found for 2.uk.pool.ntp.org
 
[ System Events ]
Error - 08.02.2012 01:55:52 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 01:55:52 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 01:55:52 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 02:14:25 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 13:07:40 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 08.02.2012 13:07:40 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 13:07:40 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 13:07:40 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 13:07:40 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
Error - 08.02.2012 13:07:40 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem 
Fehler beendet:   %%127
 
 
< End of report >

--- --- ---

[/code]

kira · 09.02.2012, 10:08

1.

Zitat:

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript:

Code:

ATTFilter

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
O4 - HKCU..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2000.09.02 08:56:14 | 000,000,745 | ---- | M] () - C:\autoexec.bak -- [ FAT ]
O32 - AutoRun File - [2000.07.26 22:02:32 | 000,000,710 | ---- | M] () - C:\autoexec.dos -- [ FAT ]
O32 - AutoRun File - [2000.08.01 23:47:20 | 000,000,778 | ---- | M] () - C:\autoexec.pss -- [ FAT ]
[2012.02.08 19:54:10 | 000,001,084 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.02.08 18:06:27 | 000,001,080 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.02.07 20:22:00 | 000,000,484 | ---- | M] () -- D:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2012.02.08 19:58:03 | 000,054,016 | ---- | C] () -- D:\WINDOWS\System32\drivers\xnqjiweo.sys
@Alternate Data Stream - 8380 bytes -> D:\Dokumente und Einstellungen\***\Eigene Dateien\Hausdach.JPG:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 7380 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Schwimmbeck Hausgeräte und Service GmbH.URL:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6368 bytes -> D:\Dokumente und Einstellungen\***\Desktop\antrag2005_fes_stand_08_05.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6296 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Einladung 45.Geburtstag.Geburtstag.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5496 bytes -> D:\Dokumente und Einstellungen\***\Desktop\SDIM1399.JPG:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 48 bytes -> D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت
@Alternate Data Stream - 4504 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Handbremsklötze Voyager.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4008 bytes -> D:\Dokumente und Einstellungen\***\Desktop\foerderrichtlinien_fes-1.pdf:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 16756 bytes -> D:\Dokumente und Einstellungen\***\Desktop\monitortest.bmp:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 13940 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Campingplatz Seewiese.URL:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 1223 bytes -> D:\Programme\WindowsUpdate:NsSJ8uSt7jjD6GiakbXGfKV0
@Alternate Data Stream - 1214 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:G7uOsGqLT9TlGjKNalsc9EQ
@Alternate Data Stream - 1183 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:UF6VKtLfbx5A1kiJvTaVPQ3
@Alternate Data Stream - 1167 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:6k2YZJXNQhlPMq91ookcrhdi0J6qq
@Alternate Data Stream - 1151 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:pOZIboR0l8kv9yYb30
@Alternate Data Stream - 1143 bytes -> D:\Programme\Outlook Express:OeAy2al2ITkF9gkTBhcREVEjTRJY
@Alternate Data Stream - 10504 bytes -> D:\Dokumente und Einstellungen\***\Desktop\Whois.Net.URL:Q30lsldxJoudresxAaaqpcawXc

:Commands
[purity]
[emptytemp]

und füge es hier ein:
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Deinen Thread.

2.
reinige dein System mit CCleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

3.
Vor dem nächsten Schritt, also bevor wir weitermachen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
►Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - ►Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

4.
Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows 2000 (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte vorher fragen.
Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Kurzanleitung zur Installation der Wiederherstellungskonsole unter XP

Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist.
Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

** Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

5.
erneut einen Scan mit OTL:

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

popeye2 · 09.02.2012, 11:44

danke!
Werde das heute Abend genau nach Anleitung machen.
Falls die Tools mir nicht bekannte Rückfragen machen, vorher fragen?
Welche Nebenwirkungen haben die clean Tools, z.B. temporäre Daten?
Ich frage dehalb, weil ich viele pdfs und andere downloads aus dem Netz nicht extra wegspeichere, sondern bei Bedarf über die Browserhistory suche (und da einen Zeitstempel habe, wann ich was geladen habe, z.B. irgendwelche online shop agbs etc.).
Demensprechend groß sind die history files

und temp/download dirs
Die pdfs an denen die Virus streams hängen, muss ich die löschen lassen, oder bleiben die pdfs erhalten, oder kann ich die vorher auf ein Fat medium kopieren, so dass die streams nicht übertragen werden?
Für combofix muss ich dann den PC wieder online hängen? Oder vorher die Routing table (default gateway) auf 127.0.0.1 stellen und nur die Microsoft ip (für den DL der Wiederherstellungskonsole) einzeln eintragen?

kira · 09.02.2012, 15:06

Zitat:

Falls die Tools mir nicht bekannte Rückfragen machen, vorher fragen?

Ja...

Zitat:

Welche Nebenwirkungen haben die clean Tools, z.B. temporäre Daten?

man kann noch einzeln auswählen, was gelöscht werden soll.:-> Anleitung

Zitat:

Für combofix muss ich dann den PC wieder online hängen? Oder vorher die Routing table (default gateway) auf 127.0.0.1 stellen und nur die Microsoft ip (für den DL der Wiederherstellungskonsole) einzeln eintragen?

Du musst gar nichts machen, nur Das was in der Anleitung steht und CfF "sagt" Dir während dem Lauf, was zu tun gibt
also vorher diese Anleitung auch gründlich lesen:-> http://www.bleepingcomputer.com/comb...x-benutzt-wird

popeye2 · 09.02.2012, 20:53

Hi Kira!
Bei 1. gab es bereits Probleme.
a) lesen macht schlau (*** )
b)
die alternative streams enthielten Sonderzeichen, die beim Übertragen in der Textdatei zwischen diesem sauberen Rechner und dem verseuchten verloren gingen.
Hab das dann mit einer wordpaddatei behoben, also aus der otl.txt direkt in das otl-script eingesetzt.
zumindest schaut es jetzt sauber aus.

a)

Code:

ATTFilter

All processes killed
========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
File D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bak moved successfully.
C:\autoexec.dos moved successfully.
C:\autoexec.pss moved successfully.
D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
D:\WINDOWS\tasks\Ad-Aware Update (Weekly).job moved successfully.
File D:\WINDOWS\System32\drivers\xnqjiweo.sys not found.
Unable to delete ADS D:\Dokumente und Einstellungen\***\Eigene Dateien\Hausdach.JPG:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Schwimmbeck Hausgeräte und Service GmbH.URL:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\antrag2005_fes_stand_08_05.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Einladung 45.Geburtstag.Geburtstag.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\SDIM1399.JPG:Q30lsldxJoudresxAaaqpcawXc .
ADS D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت deleted successfully.
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Handbremsklötze Voyager.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\foerderrichtlinien_fes-1.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\monitortest.bmp:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Campingplatz Seewiese.URL:Q30lsldxJoudresxAaaqpcawXc .
ADS D:\Programme\WindowsUpdate:NsSJ8uSt7jjD6GiakbXGfKV0 deleted successfully.
ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:G7uOsGqLT9TlGjKNalsc9EQ deleted successfully.
ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:UF6VKtLfbx5A1kiJvTaVPQ3 deleted successfully.
ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:6k2YZJXNQhlPMq91ookcrhdi0J6qq deleted successfully.
ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:pOZIboR0l8kv9yYb30 deleted successfully.
ADS D:\Programme\Outlook Express:OeAy2al2ITkF9gkTBhcREVEjTRJY deleted successfully.
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Whois.Net.URL:Q30lsldxJoudresxAaaqpcawXc .
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 69244739 bytes
->Temporary Internet Files folder emptied: 1362320 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 112436360 bytes
->Flash cache emptied: 1482 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ***
->Temp folder emptied: 243475937 bytes
->Temporary Internet Files folder emptied: 2304485 bytes
->Java cache emptied: 11560 bytes
->FireFox cache emptied: 135196671 bytes
->Flash cache emptied: 21685 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 266405276 bytes
->Java cache emptied: 262882 bytes
->Flash cache emptied: 9171 bytes
 
User: ntp
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ***
->Temp folder emptied: 24098095 bytes
->Temporary Internet Files folder emptied: 147875827 bytes
->Java cache emptied: 5391267 bytes
->FireFox cache emptied: 139332314 bytes
->Flash cache emptied: 7285 bytes
 
User: **
->Temp folder emptied: 587786120 bytes
->Temporary Internet Files folder emptied: 22886855 bytes
->Java cache emptied: 3804974 bytes
->FireFox cache emptied: 108881363 bytes
->Flash cache emptied: 10519 bytes
 
User: ***
->Temp folder emptied: 2559877895 bytes
->Temporary Internet Files folder emptied: 4380376 bytes
->Java cache emptied: 4362199 bytes
->FireFox cache emptied: 200390879 bytes
->Flash cache emptied: 126644 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 186551791 bytes
 
Total Files Cleaned = 4.605,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 02092012_194836

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

nächster Versuch (Name im log wieder mit *** ersetzt)

Code:

ATTFilter

All processes killed
========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ not found.
File D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ not found.
File D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bak not found.
File C:\autoexec.dos not found.
File C:\autoexec.pss not found.
File D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job not found.
File D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job not found.
File D:\WINDOWS\tasks\Ad-Aware Update (Weekly).job not found.
File D:\WINDOWS\System32\drivers\xnqjiweo.sys not found.
Unable to delete ADS D:\Dokumente und Einstellungen\***\Eigene Dateien\Hausdach.JPG:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Schwimmbeck Hausgeräte und Service GmbH.URL:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\antrag2005_fes_stand_08_05.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Einladung 45.Geburtstag.Geburtstag.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\SDIM1399.JPG:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Handbremsklötze Voyager.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\foerderrichtlinien_fes-1.pdf:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\monitortest.bmp:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Campingplatz Seewiese.URL:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS D:\Programme\WindowsUpdate:NsSJ8uSt7jjD6GiakbXGfKV0 .
Unable to delete ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:G7uOsGqLT9TlGjKNalsc9EQ .
Unable to delete ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:UF6VKtLfbx5A1kiJvTaVPQ3 .
Unable to delete ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:6k2YZJXNQhlPMq91ookcrhdi0J6qq .
Unable to delete ADS D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:pOZIboR0l8kv9yYb30 .
Unable to delete ADS D:\Programme\Outlook Express:OeAy2al2ITkF9gkTBhcREVEjTRJY .
Unable to delete ADS D:\Dokumente und Einstellungen\***\Desktop\Whois.Net.URL:Q30lsldxJoudresxAaaqpcawXc .
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ntp
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: **
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ***
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 02092012_195850

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

und nach Korrektur der Sonderzeichen

Code:

ATTFilter

All processes killed
========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ not found.
File D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ not found.
File D:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bak not found.
File C:\autoexec.dos not found.
File C:\autoexec.pss not found.
File D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job not found.
File D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job not found.
File D:\WINDOWS\tasks\Ad-Aware Update (Weekly).job not found.
File D:\WINDOWS\System32\drivers\xnqjiweo.sys not found.
ADS D:\Dokumente und Einstellungen\***\Eigene Dateien\Hausdach.JPG:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\Schwimmbeck Hausgeräte und Service GmbH.URL:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\antrag2005_fes_stand_08_05.pdf:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\Einladung 45.Geburtstag.Geburtstag.pdf:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\SDIM1399.JPG:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\Handbremsklötze Voyager.pdf:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\foerderrichtlinien_fes-1.pdf:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\monitortest.bmp:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\Campingplatz Seewiese.URL:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS D:\Dokumente und Einstellungen\***\Desktop\Whois.Net.URL:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ntp
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: **
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ***
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 02092012_202259

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

edit: zwischen dem : und den Q30... war jeweils noch ein unicode zeichen 0x0005.
Leider kann der windoof editor zwar unicode lesen, aber nicht abspeichern oder die code box der Forensoftware verschluckt das Zeichen.