Win32:Sirefef-AO [Rtk] und Win32:Malware-gen

obst · 01.06.2012, 23:27

Hallo zusammen,

mir ist gerade mein Herz in die Hose gerutscht als erst meine Firewall (Windows7) und dann auch mein Virenscanner angefangen hat Warnungen auszuspucken. Daraufhin schlug mir die Firewall vor zu desinfizieren und falls nicht möglich betreffende Dateien unter Quarantäne zu stellen.
Als keine Reaktion mehr kam versuchte ich alle Programme zu beenden und meinen Rechner herunterzufahren.
1) Mein Taskmanager lies sich nicht mehr öffnen
2) Mein Rechner lies sich nicht mehr herunterfahren (auch nicht in stand by versetzen)
Daraufhin habe ich die Stromzufuhr unterbrochen und den Rechner von der Internetverbinung getrennt. Ich startete Windows 7 normal und alles schien zu laufen. Nun bekomme ich alle paar Minuten einen Virenalarm von GDATA und zwar einmal der Virus: Win32:Malware-gen zum anderen der Virus: Sirefef-AO [Rtk].

A) Virus: Win32:Malware-gen (Engine B)
Es wurde versucht, auf eine infizierte Datei zuzugreifen.
Datei: 00000001.@
Verzeichnis: C:\Users\MeinName\AppData\Local\{eineNummerDieFallsGewünschtNachgeliefertWird}\U

B) Virus: Win32:Sirefef-AO [Rtk] (Engine B)
Es wurde versucht, auf eine infizierte Datei zuzugreifen.
Datei: 800000cb.@
Verzeichnis: C:\Users\MeinName\AppData\Local\{eineNummerDieFallsGewünschtNachgeliefertWird}\U

Muss ich meinen Rechner nun neu aufsetzen oder kann ich das auch eleganter lösen? Ich habe einige Programme auf meinem Rechner deren Installationsfiles ich nicht mehr habe und deren Einstellungen und Modifikationen mich einiges an Zeit gekostet haben. Gibt es hier "einfache" Möglichkeiten wie ich solche Programme "retten" kann?

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 02.06.2012 00:48:36 - Run 1
OTL by OldTimer - Version 3.2.45.0     Folder = C:\Users\MeinName\Desktop\TrojanerBoard
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,18 Gb Available Physical Memory | 72,85% Memory free
5,99 Gb Paging File | 4,91 Gb Available in Paging File | 81,98% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 99,55 Gb Total Space | 23,18 Gb Free Space | 23,28% Space Free | Partition Type: NTFS
Drive D: | 89,09 Gb Total Space | 32,93 Gb Free Space | 36,96% Space Free | Partition Type: NTFS
Drive E: | 79,47 Gb Total Space | 26,37 Gb Free Space | 33,18% Space Free | Partition Type: NTFS
 
Computer Name: MeinName-PC | User Name: MeinName | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.02 00:44:20 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\MeinName\Desktop\TrojanerBoard\OTL.exe
PRC - [2012.04.05 05:21:03 | 000,985,592 | ---- | M] (G Data Software AG) -- C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
PRC - [2012.04.05 04:46:46 | 001,538,040 | ---- | M] (G Data Software AG) -- C:\Programme\Common Files\G Data\AVKProxy\AVKProxy.exe
PRC - [2012.03.29 04:42:27 | 000,470,008 | ---- | M] (G Data Software AG) -- C:\Programme\Common Files\G Data\GDScan\GDScan.exe
PRC - [2012.01.27 06:00:36 | 001,580,464 | ---- | M] (G Data Software AG) -- C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe
PRC - [2012.01.27 05:43:33 | 000,468,472 | ---- | M] (G Data Software AG) -- C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe
PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2010.11.20 14:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012.05.04 22:01:09 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.05.04 17:25:05 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.04.05 04:46:46 | 001,538,040 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Programme\Common Files\G Data\AVKProxy\AVKProxy.exe -- (AVKProxy)
SRV - [2012.03.29 04:42:27 | 000,470,008 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Programme\Common Files\G Data\GDScan\GDScan.exe -- (GDScan)
SRV - [2012.01.27 06:00:36 | 001,580,464 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe -- (AVKWCtl)
SRV - [2012.01.27 05:43:33 | 000,468,472 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe -- (AVKService)
SRV - [2010.11.20 14:19:33 | 000,068,096 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\Mcx2Svc.dll -- (Mcx2Svc)
SRV - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2010.11.05 03:52:39 | 000,128,848 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2010.02.10 19:07:00 | 003,458,548 | ---- | M] (INCA Internet Co., Ltd.) [Disabled | Stopped] -- C:\Windows\System32\GameMon.des -- (npggsvc)
SRV - [2010.01.09 22:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 22:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.07.14 03:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 03:15:41 | 000,075,264 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\mprdim.dll -- (RemoteAccess)
SRV - [2009.07.14 03:15:33 | 000,300,544 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\ipnathlp.dll -- (SharedAccess)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [File_System | On_Demand | Stopped] --  -- (StarOpen)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - [2012.05.16 11:17:00 | 000,049,528 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\PktIcpt.sys -- (GDPkIcpt)
DRV - [2012.05.16 11:16:58 | 000,050,040 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\Windows\System32\drivers\HookCentre.sys -- (HookCentre)
DRV - [2012.05.16 11:16:57 | 000,090,744 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\Windows\System32\drivers\MiniIcpt.sys -- (GDMnIcpt)
DRV - [2012.05.16 11:16:57 | 000,054,648 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\Windows\System32\drivers\gdwfpcd32.sys -- (gdwfpcd)
DRV - [2012.05.16 11:16:57 | 000,041,848 | ---- | M] (G Data Software AG) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\GDBehave.sys -- (GDBehave)
DRV - [2012.03.13 21:11:47 | 000,029,560 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\GdNetMon32.sys -- (GdNetMon)
DRV - [2011.12.29 20:16:51 | 000,500,704 | ---- | M] (AhnLab, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - [2010.11.20 14:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 14:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 14:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 11:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 11:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.11.20 10:42:28 | 000,246,784 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\Windows\System32\drivers\udfs.sys -- (udfs)
DRV - [2010.01.13 16:36:40 | 006,755,840 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\NETw5s32.sys -- (NETw5s32) Intel(R)
DRV - [2009.12.01 15:49:54 | 000,034,384 | ---- | M] (Screaming Bee LLC) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ScreamingBAudio.sys -- (SCREAMINGBDRIVER)
DRV - [2009.09.01 01:19:18 | 009,825,728 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009.07.14 03:20:28 | 000,022,096 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\crcdisk.sys -- (crcdisk)
DRV - [2009.07.14 02:18:07 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSDPrint.sys -- (WSDPrintDevice)
DRV - [2009.07.14 02:14:49 | 000,020,480 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSDScan.sys -- (WSDScan)
DRV - [2009.07.14 01:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\ws2ifsl.sys -- (ws2ifsl)
DRV - [2009.07.14 01:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009.07.14 01:11:15 | 000,070,656 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\Windows\System32\drivers\cdfs.sys -- (cdfs)
DRV - [2009.07.14 00:02:53 | 000,311,296 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)
DRV - [2009.07.14 00:02:51 | 004,231,168 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\netw5v32.sys -- (netw5v32) Intel(R)
DRV - [2009.06.27 07:55:12 | 000,066,080 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2009.01.23 14:32:34 | 000,243,840 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vmc302.sys -- (VMC302)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 44 CA 5F 2A 9D 8E CC 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {7513DA34-3C86-47F7-943F-81B78B82F01D}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{7513DA34-3C86-47F7-943F-81B78B82F01D}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170633FE}:22.1.11207.233
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.10
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {906305f7-aafc-45e9-8bbd-941950a84dad}:1.1.11222.991
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.05.04 17:25:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.04.18 23:04:40 | 000,000,000 | ---D | M]
 
[2010.01.19 12:51:50 | 000,000,000 | ---D | M] (No name found) -- C:\Users\MeinName\AppData\Roaming\mozilla\Extensions
[2012.05.29 21:19:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\MeinName\AppData\Roaming\mozilla\Firefox\Profiles\p9abucop.default\extensions
[2010.09.04 12:03:05 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\MeinName\AppData\Roaming\mozilla\Firefox\Profiles\p9abucop.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2010.11.19 00:47:15 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\MeinName\AppData\Roaming\mozilla\Firefox\Profiles\p9abucop.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.01.19 16:12:04 | 000,001,201 | ---- | M] () -- C:\Users\MeinName\AppData\Roaming\Mozilla\Firefox\Profiles\p9abucop.default\searchplugins\winamp-search.xml
[2012.03.13 21:11:56 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.05.16 11:16:57 | 000,000,000 | ---D | M] (G Data BankGuard) -- C:\Programme\Mozilla Firefox\extensions\{906305f7-aafc-45e9-8bbd-941950a84dad}
[2012.05.16 11:16:57 | 000,000,000 | ---D | M] (G Data BankGuard) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{906305F7-AAFC-45E9-8BBD-941950A84DAD}
[2012.01.06 13:56:00 | 000,634,964 | ---- | M] () (No name found) -- C:\USERS\FLORIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\P9ABUCOP.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2012.05.04 17:25:03 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2009.12.21 07:47:02 | 000,063,488 | ---- | M] (Nullsoft) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
[2011.11.05 05:38:54 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.11.05 05:32:18 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.11.05 05:38:54 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.11.05 05:38:54 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.11.05 05:38:54 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.11.05 05:38:54 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (G Data BankGuard) - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - C:\Programme\Common Files\G Data\AVKProxy\BanksafeBHO.dll (G Data Software AG)
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [G Data AntiVirus Tray Application] C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe (G Data Software AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Florian\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {C212D449-8B3C-41F2-BD9A-047BD770550F} hxxp://www.fiaa.eu/OPLauncher.cab (Perparer Class)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 141.70.124.1 141.31.177.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{52F466E9-978F-48F0-A6D7-4E176E65CD74}: DhcpNameServer = 129.69.252.252 129.69.252.212 129.69.252.202
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E87ADD4E-FDFA-4B9B-B346-616391D9C501}: DhcpNameServer = 141.70.124.1 141.31.177.1
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.02 00:40:42 | 000,000,000 | ---D | C] -- C:\Users\MeinName\Desktop\TrojanerBoard
[2012.05.21 16:11:10 | 000,000,000 | ---D | C] -- C:\Users\MeinName\Desktop\USB-Stick
[2012.05.16 11:16:56 | 000,010,760 | ---- | C] (G Data Software AG) -- C:\Windows\System32\GdScrSv.de.dll
[2012.05.12 13:38:03 | 003,968,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2012.05.12 13:38:03 | 003,913,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2012.05.12 13:38:02 | 002,343,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012.05.12 13:37:59 | 001,077,248 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\DWrite.dll
[2012.05.04 17:25:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Mozilla
[2012.05.04 17:25:14 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Maintenance Service
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.02 00:42:45 | 000,000,000 | ---- | M] () -- C:\Users\MeinName\defogger_reenable
[2012.06.02 00:01:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.06.01 23:37:06 | 000,663,847 | ---- | M] () -- C:\Windows\System32\sig.bin
[2012.06.01 23:37:06 | 000,040,357 | ---- | M] () -- C:\Windows\System32\nmp.map
[2012.06.01 22:33:35 | 000,014,752 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.06.01 22:33:35 | 000,014,752 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.06.01 22:25:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.06.01 22:25:39 | 2411,679,744 | -HS- | M] () -- C:\hiberfil.sys
[2012.05.28 17:54:23 | 000,000,218 | ---- | M] () -- C:\Users\MeinName\.recently-used.xbel
[2012.05.28 12:22:43 | 000,654,166 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.05.28 12:22:43 | 000,616,008 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.05.28 12:22:43 | 000,130,006 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.05.28 12:22:43 | 000,106,388 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.05.16 20:36:46 | 000,011,339 | ---- | M] () -- C:\Users\MeinName\gsview32.ini
[2012.05.16 11:17:00 | 000,049,528 | ---- | M] (G Data Software AG) -- C:\Windows\System32\drivers\PktIcpt.sys
[2012.05.16 11:16:58 | 000,050,040 | ---- | M] (G Data Software AG) -- C:\Windows\System32\drivers\HookCentre.sys
[2012.05.16 11:16:57 | 000,090,744 | ---- | M] (G Data Software AG) -- C:\Windows\System32\drivers\MiniIcpt.sys
[2012.05.16 11:16:57 | 000,054,648 | ---- | M] (G Data Software AG) -- C:\Windows\System32\drivers\gdwfpcd32.sys
[2012.05.16 11:16:57 | 000,041,848 | ---- | M] (G Data Software AG) -- C:\Windows\System32\drivers\GDBehave.sys
[2012.05.12 22:32:44 | 000,293,888 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.05.04 22:01:08 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.05.04 22:01:08 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
 
========== Files Created - No Company Name ==========
 
[2012.06.02 00:42:45 | 000,000,000 | ---- | C] () -- C:\Users\MeinName\defogger_reenable
[2012.05.28 17:54:23 | 000,000,218 | ---- | C] () -- C:\Users\MeinName\.recently-used.xbel
[2011.07.31 03:23:48 | 000,007,606 | ---- | C] () -- C:\Users\MeinName\AppData\Local\Resmon.ResmonCfg
[2011.07.30 21:54:32 | 000,663,847 | ---- | C] () -- C:\Windows\System32\sig.bin
[2011.05.26 00:08:46 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2011.04.07 20:36:07 | 000,000,262 | ---- | C] () -- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
[2010.11.11 22:19:00 | 000,000,362 | ---- | C] () -- C:\Users\MeinName\AppData\Roaming\burnaware.ini

< End of report >

--- --- ---

OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 02.06.2012 00:48:36 - Run 1
OTL by OldTimer - Version 3.2.45.0     Folder = C:\Users\MeinName\Desktop\TrojanerBoard
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,18 Gb Available Physical Memory | 72,85% Memory free
5,99 Gb Paging File | 4,91 Gb Available in Paging File | 81,98% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 99,55 Gb Total Space | 23,18 Gb Free Space | 23,28% Space Free | Partition Type: NTFS
Drive D: | 89,09 Gb Total Space | 32,93 Gb Free Space | 36,96% Space Free | Partition Type: NTFS
Drive E: | 79,47 Gb Total Space | 26,37 Gb Free Space | 33,18% Space Free | Partition Type: NTFS
 
Computer Name: MeinName-PC | User Name: MeinName | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{03DC419C-92B2-4FD5-AB60-12E053B7BF01}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{09C192D2-503D-40FA-88CC-672790831802}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{0EC8D5FD-067F-4A89-941E-565F110D15D9}" = rport=445 | protocol=6 | dir=out | app=system | 
"{2E821874-DFDC-4486-B436-CEA02AE21B03}" = rport=139 | protocol=6 | dir=out | app=system | 
"{3BDBB8F2-7C38-4C75-9196-A201D50F2796}" = rport=137 | protocol=17 | dir=out | app=system | 
"{42F75501-62FF-4C18-8FB3-732AC6424F86}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{4859265B-9A30-455A-BF64-98FF26E05CF0}" = lport=137 | protocol=17 | dir=in | app=system | 
"{4C8B0178-3925-4A6C-A881-F0A5759DADDB}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{536B6593-06CA-4896-B5B0-DC612F236467}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{74898D56-7055-4141-A5AC-B7453EF00647}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{7C59B60A-DCED-4458-90B4-B4210A696342}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{87DFACE4-6D9C-4F19-8FCA-30281B6BF6E6}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{8B30AE4C-1A26-4EBD-93B4-CF3AB9D21AEB}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{96443339-46AC-46DD-AF88-A9C746AEEEB6}" = lport=445 | protocol=6 | dir=in | app=system | 
"{AC69F171-66F2-461A-B977-60BE6240CB63}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{BD066AAB-3F83-4DD3-B3B3-2702CBC3CAE1}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{C0A20191-207E-4BFA-818E-5397D53023AE}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{C7149927-9B71-46D8-9E62-F6213BDC28B1}" = lport=138 | protocol=17 | dir=in | app=system | 
"{D0B92FC5-7DBF-486A-AA91-0B695E0DEC96}" = lport=139 | protocol=6 | dir=in | app=system | 
"{D7D6F985-3AAD-4900-A6AD-EA6384E43086}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{D7F35CD9-BDAD-4782-9CC1-CAEB99494A8F}" = rport=138 | protocol=17 | dir=out | app=system | 
"{E7181761-0F79-433C-B479-85995139B6DE}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{F26A622F-9178-4F63-B14E-460A7CA8E872}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{042E5E7A-12F6-4CE8-8688-73BF9099A616}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{096EDF51-7DB6-4EC3-BBAC-F8F021A1BEC3}" = protocol=6 | dir=in | app=c:\program files\ventrilo\ventrilo.exe | 
"{12C9E81B-D260-4DCA-991F-A3AE5008B109}" = protocol=58 | dir=out | name=@iphlpsvc.dll,-503 | 
"{1516013F-D5B0-4187-9751-175162FD789D}" = protocol=6 | dir=out | app=system | 
"{1AB2BC73-0037-48B4-A8DA-58F3D90829C3}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{23003FA5-DEC1-4C58-ABF6-DE9046637A44}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{2587DA55-43C8-4F0B-AFAA-97B02B66D90F}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{27A1C021-5CE8-4EA7-8F27-AFE24A3C51E2}" = protocol=17 | dir=in | app=c:\program files\ventrilo\ventrilo.exe | 
"{3D11569B-0BFA-4624-842E-B03CB36B54FE}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{5654D605-4AB3-4281-ACAD-F7D28ED06264}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{69DF7A56-927E-494C-84D6-549532126C81}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{722819E8-4CBA-4E6A-A978-3743568FFD1B}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{7FA86802-92F1-49E9-A1EA-F2400E3C6976}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{8DF31D49-A5A4-4657-9171-3C31C3076637}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{9330D2B6-AF21-481E-A078-77163453ECFB}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{934E4AF2-04EE-4F99-958F-2A9029BFFA96}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{9F00AF9D-1BD6-4855-9B3C-F2E75745DB4B}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{A468E1F3-B3F0-41D1-8E7E-B8E23F94389F}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{A7699AC4-09C9-4CA3-8E9D-8957D3ECC684}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{E962653F-25D6-4FED-9033-E1A652E8A9EB}" = protocol=58 | dir=in | app=system | 
"{F9D889B8-6AAB-4213-B9FA-70D80CD23E21}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"TCP Query User{0A7CC4FE-ED2D-4858-B186-A6A59054B200}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{65BDF8C1-DA2C-414A-AA20-5D8841C06C30}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"TCP Query User{88D554FA-4683-4E9E-8C57-12F57AEC45F4}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{BFF96BF2-9A29-4204-ABCE-6B04B6894A80}E:\starcraft ii\versions\base21029\sc2.exe" = protocol=6 | dir=in | app=e:\starcraft ii\versions\base21029\sc2.exe | 
"TCP Query User{C29BE7E5-8443-4D31-8E5F-6B5D2EDDF817}C:\program files\dc++\dcplusplus.exe" = protocol=6 | dir=in | app=c:\program files\dc++\dcplusplus.exe | 
"UDP Query User{0EB7505D-8A64-4DF7-B93A-CB3A98B60A2E}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{502FA0BB-7189-48DE-A9D5-B186D6B9352C}C:\program files\dc++\dcplusplus.exe" = protocol=17 | dir=in | app=c:\program files\dc++\dcplusplus.exe | 
"UDP Query User{965AC3EE-16E7-445A-AD4E-DA2EFD1BCAB1}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"UDP Query User{CF3D1F4E-CFCC-4197-8F40-037B601BF5E5}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{D481CF6B-EB0D-473B-A7BB-91241070EAF2}E:\starcraft ii\versions\base21029\sc2.exe" = protocol=17 | dir=in | app=e:\starcraft ii\versions\base21029\sc2.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 21
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{2B85CEB9-4D13-4501-95EC-EE978A352C17}" = OriginPro 7.5G
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features
"{6006059E-013D-4B77-BC5C-4DD5E4A6570D}" = G Data InternetSecurity 2012
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo Client
"{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.VISIOR_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.VISIOR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.VISIOR_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.VISIOR_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.VISIOR_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0054-0407-0000-0000000FF1CE}" = Microsoft Office Visio MUI (German) 2010
"{90140000-0054-0407-0000-0000000FF1CE}_Office14.VISIOR_{1FEAC070-BB09-4055-9BD0-48CF52023F92}" = Microsoft Office 2010 Language Pack Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.VISIOR_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0057-0000-0000-0000000FF1CE}" = Microsoft Office Visio 2010
"{91140000-0057-0000-0000-0000000FF1CE}_Office14.VISIOR_{01D8AE4B-A04D-47E5-81BF-E3F98B81B8C3}" = Microsoft Visio 2010 Service Pack 1 (SP1)
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{F1191B7E-84BF-4325-9FFD-80BD8996ED4B}" = MorphVOX Junior
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"BurnAware Free_is1" = BurnAware Free 3.0.4
"DC++" = DC++ 0.761
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free Screen Video Recorder_is1" = Free Screen Video Recorder version 2.5
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.14.1206
"GSview 4.9" = GSview 4.9
"Inkscape" = Inkscape 0.46pre4-2
"LHTTSGED" = L&H TTS3000 Deutsch
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"MiKTeX 2.7" = MiKTeX 2.7
"MiKTeX 2.9" = MiKTeX 2.9
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"Office14.VISIOR" = Microsoft Visio Professional 2010
"OPERATION7" = OPERATION7
"Rainlendar2" = Rainlendar2 (remove only)
"StarCraft II" = StarCraft II
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"TeXnicCenter_is1" = TeXnicCenter Version 1 Beta 7.01 (Greengrass)
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 2.0.1
"Winamp" = Winamp
"Winamp Toolbar" = Winamp Toolbar
"WinGimp-2.0_is1" = GIMP 2.6.10
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"sting (deu)" = RoR Remembrance Of Recruitment
"Winamp Detect" = Winamp Anwendungserkennung
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.06.2011 11:47:18 | Computer Name = MeinName-PC | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 04.06.2011 14:23:08 | Computer Name = MeinName-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 05.06.2011 05:50:59 | Computer Name = MeinName-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 05.06.2011 06:31:49 | Computer Name = MeinName-PC | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 05.06.2011 08:15:52 | Computer Name = MeinName-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 06.06.2011 04:29:47 | Computer Name = MeinName-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 06.06.2011 05:15:36 | Computer Name = MeinName-PC | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 07.06.2011 07:14:02 | Computer Name = MeinName-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 07.06.2011 08:01:49 | Computer Name = MeinName-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 07.06.2011 10:42:04 | Computer Name = MeinName-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
[ System Events ]
Error - 28.05.2012 10:15:22 | Computer Name = MeinName-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?28.?05.?2012 um 16:13:44 unerwartet heruntergefahren.
 
Error - 28.05.2012 10:15:29 | Computer Name = MeinName-PC | Source = BugCheck | ID = 1001
Description = 
 
Error - 28.05.2012 10:16:37 | Computer Name = MeinName-PC | Source = DCOM | ID = 10016
Description = 
 
Error - 28.05.2012 15:00:25 | Computer Name = MeinName-PC | Source = DCOM | ID = 10016
Description = 
 
Error - 29.05.2012 14:15:43 | Computer Name = MeinName-PC | Source = DCOM | ID = 10016
Description = 
 
Error - 30.05.2012 04:37:06 | Computer Name = MeinName-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst lmhosts erreicht.
 
Error - 01.06.2012 05:34:23 | Computer Name = MeinName-PC | Source = DCOM | ID = 10016
Description = 
 
Error - 01.06.2012 16:15:56 | Computer Name = MeinName-PC | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
 Windows-Fehlerberichterstattungsdienst erreicht.
 
Error - 01.06.2012 16:25:45 | Computer Name = MeinName-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?01.?06.?2012 um 22:22:57 unerwartet heruntergefahren.
 
Error - 01.06.2012 16:26:58 | Computer Name = MeinName-PC | Source = DCOM | ID = 10016
Description = 
 
 
< End of report >

--- --- ---

TDSSKiller.exe habe ich ausgeführt, allerdings mit dem Ergebnis "No threads found"

Anmerkung:
Ich weiß nicht in wie weit es eine Rolle spielt, aber zum Zeitpunkt als die Meldungen aufkammen habe ich einen Netzwerkstream in einem "halböffentlichen" Netzwerk mit VLC geschaut (über eine TV-Karte die von mehreren Personen geteilt wird, hier ist bisher noch nie etwas passiert) und zum anderen einen Link über google geöffnet (hxxp://www.wie-sagt-man-noch.de/synonyme/no+chalon.html).

Neu hintzgekommen, bzw. neuer Name beim GDATA Virenalarm nun:
Trojan.Sirefef.FT

Neu hinzugekommen:
Virus: HTML:RedirME-inf [Trj] (Engine B)
Virus beim Laden von Web-Inhalten gefunden.
Adresse: trulook.net
Status: Der Zugriff wurde verweigert.

weiterhin:
Virus: HTML:RedirME-inf [Trj] (Engine B)
Virus beim Laden von Web-Inhalten gefunden.
Adresse: pubresults.net
Status: Der Zugriff wurde verweigert.

Virus: HTML:RedirME-inf [Trj] (Engine B)
Virus beim Laden von Web-Inhalten gefunden.
Adresse: ufresults.com + thelooking.net
Status: Der Zugriff wurde verweigert.

+ Adresse: traffstar.com

Virus: HTML:Iframe-inf (Engine B)
Virus beim Laden von Web-Inhalten gefunden.
Adresse: serch-direct.com
Status: Der Zugriff wurde verweigert.

Virus: HTML:RedirME-inf [Trj] (Engine B)
Virus beim Laden von Web-Inhalten gefunden.
Adresse: klpfind.com + searchpo.net
Status: Der Zugriff wurde verweigert.

Ergebnis des CKScanners:

Code:

ATTFilter

CKScanner - Additional Security Risks - These are not necessarily bad
c:\program files\gimp-2.0\share\gimp\2.0\patterns\cracked.pat
c:\program files\inkscape\python\lib\site-packages\numpy\f2py\crackfortran.py
c:\program files\inkscape\python\lib\site-packages\numpy\f2py\crackfortran.pyc
c:\program files\inkscape\python\lib\site-packages\numpy\f2py\crackfortran.pyo
scanner sequence 3.BB.11.PPAPMS
 ----- EOF -----

Anmerkung: Ich bin mir bewusst das Inkscape nicht auf dem neusten Stand ist, allerdings habe ich diese Version gewählt, da sie im Gegensatz zu den damals, als ich es eingerichtet habe, verfügbaren, eine Funktion die ich benötigte, in den Nachfolgeversionen nicht zur Verfügung stand.

obst · 03.06.2012, 08:11

Neu hinzugekommen:
Virus: JS:Trojan.JS.A (Engine A)
Datei: ad_track[1].htm
Verzeichnis: C:\Users\MeinName\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PQZCUTIU
Prozess: svchost.exe

Ich werde vermutlich morgen, nachdem ich mir eine externe Festplatte besorgt habe, mein System neu aufsetzen.
Problem hierbei ist, dass ich momentan nur diesen einen Rechner zur Verfügung habe und die Installationsfiles, auch Windows 7 über MSDNAA, neu downloaden müsste und das dann auch irgendwo (der Festplatte, einem USB-Stick) speichern müsste.
Wie sollte ich hier vorgehen um anschließend ein sicheres und sauberes System zu haben und ich meine jetzt erst gesicherten Daten (.eps, .svg, .jpg, TeXnicCenter Project, .pdf, .ps, .aux, ...) weiterverwenden muss?

obst · 04.06.2012, 18:11

Habe nun eine neue externe Festplatte besorgt. Ich würde die nun anschließen um meine Daten zu sichern. Außerdem würde ich auch noch Win 7 neu downloaden mit dem zur Zeit noch verseuchten System und ebenfalls auf der Festplatte speichern. Da ich anschließend nicht noch größere Probleme habe hätte ich doch ganz gerne ein Feedback bevor ich alleine weiter mache. Ich will ja nicht drängen, aber ich benötige den Rechner auch nicht nur zum Spaß.

=> Worauf muss ich achten wenn ich nun meine Daten und neue Downloads über das verseuchte System sichere und anschließend mit diesen Daten ein neues (mit Sicherheit sauberes) System aufbauen will?

Thema erledigt.

Danke für die freundliche Hilfe!

**Da GuRu** · 05.06.2012, 10:03

Wenn Du auf Dein Thema selbst antwortest, wird es als in Arbeit angesehen.

Benötigst Du noch Hilfe?

Weiteres:
http://www.trojaner-board.de/96344-a...-rechners.html
http://www.trojaner-board.de/51262-a...sicherung.html
PluginCheck
Secunia Online Software Inspector

obst · 05.06.2012, 10:24

Ich wollte nur den jeweils aktuellen Stand bekanntgeben.
Das System erachte ich als nicht mehr zu retten. Bei der Datensicherung einiger ausführbarer Dateien (selbsterstellte Skripte: matlab, latex, ...) bin ich mir allerdings nicht hundertprozentig sicher ob diese nicht modifiziert wurden.
Ich habe nun acronis true image und werde bevor ich die alten Daten anstöpsel mal ein Backup machen.

Weitere Hilfe ist wie bereits erwähnt vorerst nicht nötig.

05.06.2012, 10:03	#4
Da GuRu Administrator /// technical service	Win32:Sirefef-AO [Rtk] und Win32:Malware-gen Wenn Du auf Dein Thema selbst antwortest, wird es als in Arbeit angesehen. Benötigst Du noch Hilfe? Weiteres: http://www.trojaner-board.de/96344-a...-rechners.html http://www.trojaner-board.de/51262-a...sicherung.html PluginCheck Secunia Online Software Inspector

Win32:Sirefef-AO [Rtk] und Win32:Malware-gen

Plagegeister aller Art und deren Bekämpfung: Win32:Sirefef-AO [Rtk] und Win32:Malware-gen