Java-Viren und etliche Trojaner

derdaises · 10.07.2012, 22:37

Hi,

eieiei da hats mich wohl ziemlich erwischt.
seit 2 tagen meldet sich avira.

was ich ausschließen kann ist dass ich irgend eine exe ausgeführt habe dessen ursprung nicht eindeutig war.

da kam wohl was über eine infizierte seite auf mein altes notebook.

ich bin alle schritte durchgegangen und hab auch noch die avira und malewarebytes -ergebnisse dazu gepackt.

ich komm alleine leider nicht mehr weiter

ich bin für jede hilfe wirklich dankbar.
würd gern ums formatieren herum komm.

lg aus berlin

OTL

Code:

ATTFilter

OTL logfile created on: 10.07.2012 19:12:10 - Run 2
OTL by OldTimer - Version 3.2.53.1     Folder = C:\Dokumente und Einstellungen\thepreacher\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,25 Gb Available Physical Memory | 62,80% Memory free
4,83 Gb Paging File | 4,19 Gb Available in Paging File | 86,76% Paging File free
Paging file location(s): C:\pagefile.sys 3058 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50,10 Gb Total Space | 11,66 Gb Free Space | 23,27% Space Free | Partition Type: NTFS
Drive F: | 24,43 Gb Total Space | 20,43 Gb Free Space | 83,64% Space Free | Partition Type: NTFS
 
Computer Name: DERDERDE-9D6EBC | User Name: thepreacher | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\thepreacher\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\Gemeinsame Dateien\PCTV Systems\RemoTerm\remoterm.exe (PCTV Systems S.à r.l.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
PRC - C:\Programme\Phonic\HB12Plus_Driver\HB12Plussvc.exe (Phonic)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\emaudsv.exe (E-MU Systems)
PRC - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
PRC - C:\Programme\Hewlett-Packard\IAM\Bin\asghost.exe (Cognizance Corporation)
PRC - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe (Hewlett-Packard Development Company, L.P.)
PRC - c:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe (Sierra Wireless Inc.)
PRC - C:\WINDOWS\system32\PAStiSvc.exe ()
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\system32\13001.021\components\AcroFF021.dll ()
MOD - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll ()
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
MOD - C:\WINDOWS\system32\redmonnt.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
MOD - C:\Programme\Essentials Codec Pack\Haali\mmfinfo.dll ()
MOD - C:\Programme\Essentials Codec Pack\Haali\mkunicode.dll ()
MOD - C:\Programme\Hercules\WebCam Station\PhotoImpression\Share\PIHook.dll ()
MOD - C:\WINDOWS\system32\PAStiSvc.exe ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (C-DillaCdaC11BA) -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
SRV - (HB12Plussvc) -- C:\Programme\Phonic\HB12Plus_Driver\HB12Plussvc.exe (Phonic)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (emaudsv) -- C:\WINDOWS\system32\emaudsv.exe (E-MU Systems)
SRV - (StarWindServiceAE) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
SRV - (ASBroker) -- C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll (Cognizance Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (SWIHPWMI) -- c:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe (Sierra Wireless Inc.)
SRV - (ASChannel) -- C:\Programme\Hewlett-Packard\IAM\Bin\ASChnl.dll (Cognizance Corporation)
SRV - (STI Simulator) -- C:\WINDOWS\system32\PAStiSvc.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCTINDIS5) -- C:\WINDOWS\system32\PCTINDIS5.SYS File not found
DRV - (PCIDump) --  File not found
DRV - (pccsmcfd) -- system32\DRIVERS\pccsmcfd.sys File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (hwdatacard) -- system32\DRIVERS\ewusbmdm.sys File not found
DRV - (GearAspiWDM) -- System32\drivers\GEARAspiWDM.sys File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- C:\ComboFix\catchme.sys File not found
DRV - (sptd) -- C:\WINDOWS\system32\drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (azvusb) -- C:\WINDOWS\system32\drivers\azvusb.sys (AzureWave Technologies, Inc.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (CdaC15BA) -- C:\WINDOWS\system32\drivers\CdaC15BA.SYS (Macrovision Europe Ltd)
DRV - (HB12Plusks) -- C:\WINDOWS\system32\drivers\HB12Plusks.sys (RigiSystems AG)
DRV - (HB12Plus) -- C:\WINDOWS\system32\drivers\HB12Plus.sys (RigiSystems AG)
DRV - (EverestDriver) -- C:\Programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt ()
DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation)
DRV - (emusba10) -- C:\WINDOWS\system32\drivers\emusba10.sys (E-MU Systems)
DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation)
DRV - (ATSWPDRV) AuthenTec TruePrint USB Driver (SwipeSensor) -- C:\WINDOWS\system32\drivers\atswpdrv.sys (AuthenTec, Inc.)
DRV - (HpqKbFiltr) -- C:\WINDOWS\system32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (Ltn_stk7070P) -- C:\WINDOWS\system32\drivers\Ltn_stk7070P.sys (LITEON)
DRV - (Ltn_stkrc) -- C:\WINDOWS\system32\drivers\Ltn_stkrc.sys (LITEON)
DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments)
DRV - (Ser2pl) -- C:\WINDOWS\system32\drivers\ser2pl.sys (Prolific Technology Inc.)
DRV - (Accelerometer) -- C:\WINDOWS\system32\drivers\Accelerometer.sys (Hewlett-Packard Corporation)
DRV - (hpdskflt) -- C:\WINDOWS\system32\drivers\hpdskflt.sys (Hewlett-Packard Corporation)
DRV - (GTIPCI21) -- C:\WINDOWS\system32\drivers\gtipci21.sys (Texas Instruments)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (HBtnKey) -- C:\WINDOWS\system32\drivers\CPQBttn.sys (Hewlett-Packard Development Company, L.P.)
DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)
DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)
DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (PAC7311) -- C:\WINDOWS\system32\drivers\PA707UCM.SYS (PixArt Imaging Inc.)
DRV - (ovt530) -- C:\WINDOWS\system32\drivers\ov530vid.sys (OmniVision Technologies, Inc.)
DRV - (Afc) -- C:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.)
DRV - (SMCIRDA) -- C:\WINDOWS\system32\drivers\smcirda.sys (SMC)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}:7.3.2.26
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.2
FF - prefs.js..extensions.enabledItems: en-GB@dictionaries.addons.mozilla.org:1.19.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {b749fc7c-e949-447f-926c-3f4eed6accfe}:0.7.0.2
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0:  File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.19: C:\Programme\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Programme\Veetle\Player\npvlc.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.02.28 18:48:17 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\13001.021 [2012.07.10 17:04:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.06.18 17:47:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.06.07 13:58:08 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.02.28 18:48:17 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\13001.021 [2012.07.10 17:04:38 | 000,000,000 | ---D | M]
 
[2009.01.09 04:23:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mozilla\Extensions
[2012.07.06 19:36:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mozilla\Firefox\Profiles\8ubo9ldo.default\extensions
[2010.04.28 18:12:17 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mozilla\Firefox\Profiles\8ubo9ldo.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.05.20 18:56:42 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mozilla\Firefox\Profiles\8ubo9ldo.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2010.12.27 00:20:03 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mozilla\Firefox\Profiles\8ubo9ldo.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2010.12.27 00:20:03 | 000,000,000 | ---D | M] (British English Dictionary) -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mozilla\Firefox\Profiles\8ubo9ldo.default\extensions\en-GB@dictionaries.addons.mozilla.org
[2010.03.07 06:50:19 | 000,000,000 | ---D | M] (Ovi maps browser plugin) -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mozilla\Firefox\Profiles\8ubo9ldo.default\extensions\maps@ovi.com
[2012.06.07 13:48:24 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.06.26 21:59:17 | 000,339,843 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\THEPREACHER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\8UBO9LDO.DEFAULT\EXTENSIONS\{19503E42-CA3C-4C27-B1E2-9CDB2170EE34}.XPI
[2011.12.10 02:34:10 | 000,061,705 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\THEPREACHER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\8UBO9LDO.DEFAULT\EXTENSIONS\{B749FC7C-E949-447F-926C-3F4EED6ACCFE}.XPI
[2011.06.10 04:19:00 | 000,026,136 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\THEPREACHER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\8UBO9LDO.DEFAULT\EXTENSIONS\{DF4E4DF5-5CB7-46B0-9AEF-6C784C3249F8}.XPI
[2012.07.10 17:04:38 | 000,000,000 | ---D | M] (Java Link Helper) -- C:\WINDOWS\SYSTEM32\13001.021
[2012.06.18 17:47:11 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.09.09 15:27:04 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Credential Manager for HP ProtectTools) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll (Bioscrypt Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE (Hewlett-Packard Development Company, L.P.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [UpdReg] C:\WINDOWS\Updreg.EXE (Creative Technology Ltd.)
O4 - HKCU..\Run: [RemoTerm.exe] C:\Programme\Gemeinsame Dateien\PCTV Systems\RemoTerm\remoterm.exe (PCTV Systems S.à r.l.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html File not found
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html File not found
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{12ACB5E2-0916-4337-BF5E-54097F178A95}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\WINDOWS\system32\APSHook.dll) - C:\WINDOWS\system32\APSHook.dll (Bioscrypt Inc.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\OneCard: DllName - (C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll) - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll (Cognizance Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.01.09 01:15:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.10 18:46:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Nokia
[2012.07.10 18:32:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\thepreacher\Recent
[2012.07.10 18:00:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm
[2012.07.10 17:04:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\13001.021
[2012.07.09 12:28:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\13001.020
[2012.07.08 15:36:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\UAs
[2012.07.08 14:28:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\13001.019
[2012.07.08 12:38:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\13001.018
[2012.07.08 12:37:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock
[2012.06.14 21:45:25 | 000,000,000 | ---D | C] -- C:\Programme\Dropbox
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.10 18:56:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.07.10 17:50:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.10 17:44:47 | 000,000,182 | ---- | M] () -- C:\Dokumente und Einstellungen\thepreacher\defogger_reenable
[2012.07.10 17:16:42 | 000,000,051 | ---- | M] () -- C:\WINDOWS\System32\blckdom.res
[2012.07.09 20:02:05 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.09 19:56:37 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.09 16:05:17 | 000,000,020 | ---- | M] () -- C:\WINDOWS\eplan.ini
[2012.07.02 23:13:36 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad
[2012.06.20 23:01:09 | 000,022,757 | ---- | M] () -- C:\Dokumente und Einstellungen\thepreacher\Eigene Dateien\raum2.jpg
[2012.06.20 23:00:51 | 000,019,158 | ---- | M] () -- C:\Dokumente und Einstellungen\thepreacher\Eigene Dateien\raum.jpg
[2012.06.14 21:45:19 | 000,001,060 | ---- | M] () -- C:\Dokumente und Einstellungen\thepreacher\Desktop\Dropbox.lnk
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.10 17:44:33 | 000,000,182 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\defogger_reenable
[2012.07.08 12:37:58 | 000,000,051 | ---- | C] () -- C:\WINDOWS\System32\blckdom.res
[2012.07.02 23:13:13 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad
[2012.06.20 23:01:08 | 000,022,757 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\Eigene Dateien\raum2.jpg
[2012.06.20 23:00:50 | 000,019,158 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\Eigene Dateien\raum.jpg
[2012.04.03 21:23:06 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2012.04.03 21:23:06 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2012.04.03 21:22:28 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2011.09.26 13:01:56 | 000,663,088 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011.07.20 16:59:47 | 000,002,231 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\.recently-used.xbel
[2011.07.11 22:19:56 | 000,000,020 | ---- | C] () -- C:\WINDOWS\eplan.ini
[2011.01.31 20:22:29 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\RoomEQWizardV5-Path
[2010.09.07 20:51:51 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.09.07 20:51:50 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.09.07 20:51:50 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.09.07 20:51:50 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.09.07 20:51:50 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2009.03.20 21:39:55 | 000,020,313 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\clip_image002.jpg
[2009.01.23 01:43:54 | 000,000,018 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\ambt.dat
[2009.01.14 02:13:55 | 000,000,551 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\AutoGK.ini
[2009.01.09 23:48:29 | 000,104,960 | ---- | C] () -- C:\Dokumente und Einstellungen\thepreacher\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.01.09 08:56:34 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak
[2009.01.09 08:56:34 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak
[2009.01.09 08:56:33 | 000,290,858 | R--- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\hosts.bak
 
========== LOP Check ==========
 
[2009.05.31 11:54:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ableton
[2010.01.25 14:06:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ArtsAcoustic
[2012.04.03 21:23:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2009.01.17 13:50:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
[2009.10.28 01:11:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hemar-Soft
[2010.03.07 08:20:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
[2010.03.13 13:15:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OviInstallerCache
[2010.03.07 06:28:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010.06.13 20:41:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCTV Systems
[2010.01.24 22:01:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
[2010.01.27 02:08:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Propellerhead Software
[2009.06.28 20:35:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sync App Settings
[2009.01.09 03:12:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2009.05.04 20:39:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2010.10.13 16:17:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Ableton
[2010.12.03 21:10:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Applied Acoustics Systems
[2011.11.06 19:30:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\BOM
[2009.02.06 19:46:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Cakewalk
[2009.12.16 08:19:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Cycling '74
[2012.07.10 17:51:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Dropbox
[2009.10.11 00:19:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\GetRightToGo
[2011.06.22 01:48:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\gtk-2.0
[2009.12.08 04:12:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Mountain Utilities
[2009.12.13 06:41:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\MSNInstaller
[2010.03.07 14:45:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Nokia
[2009.10.28 00:30:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\OpenOffice.org
[2010.03.07 06:35:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\PC Suite
[2010.01.27 02:13:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Propellerhead Software
[2011.01.25 22:52:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\REAPER
[2009.02.06 19:39:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Steinberg
[2011.06.08 04:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\uTorrent
[2009.01.09 03:11:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Vodafone
[2011.01.15 23:17:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Waves Audio
[2009.01.25 00:43:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Waves Preferences
[2009.01.11 10:18:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Windows Search
[2009.01.24 17:35:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Yellow Tools
 
========== Purity Check ==========
 
 

< End of report >

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-10 22:58:32
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 HTS54108 rev.MB4O
Running: 24eisbkm.exe; Driver: C:\DOKUME~1\THEPRE~1\LOKALE~1\Temp\kwkcqkoc.sys


---- System - GMER 1.0.15 ----

SSDT            A0AFE7BE                                                                                                              ZwCreateKey
SSDT            A0AFE7B4                                                                                                              ZwCreateThread
SSDT            A0AFE7C3                                                                                                              ZwDeleteKey
SSDT            A0AFE7CD                                                                                                              ZwDeleteValueKey
SSDT            A0AFE7D2                                                                                                              ZwLoadKey
SSDT            A0AFE7A0                                                                                                              ZwOpenProcess
SSDT            A0AFE7A5                                                                                                              ZwOpenThread
SSDT            A0AFE7DC                                                                                                              ZwReplaceKey
SSDT            A0AFE7D7                                                                                                              ZwRestoreKey
SSDT            A0AFE7C8                                                                                                              ZwSetValueKey
SSDT            A0AFE7AF                                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               bvmgtlr.sys                                                                                                           Das System kann die angegebene Datei nicht finden. !
?               cjay.sys                                                                                                              Das System kann die angegebene Datei nicht finden. !
?               TPkd.sys                                                                                                              Das System kann die angegebene Datei nicht finden. !
?               System32\Drivers\PQNTDrv.SYS                                                                                          Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                               SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Programme\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x95 0x58 0x3F 0xFD ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0xAD 0x4E 0x99 0xD5 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x52 0xA7 0xEE 0xEA ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Programme\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0xF9 0x65 0xDE 0x6C ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0xAD 0x4E 0x99 0xD5 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x4E 0x4C 0x80 0x37 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                   C:\Programme\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                   0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0xD8 0x80 0xFC 0x6B ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                       0xAD 0x4E 0x99 0xD5 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0xD4 0xF5 0x17 0x58 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Programme\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0xD8 0x80 0xFC 0x6B ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0xAD 0x4E 0x99 0xD5 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0xD4 0xF5 0x17 0x58 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b    0x2E 0xE8 0xE1 0x00 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b    0x71 0x3B 0x04 0x66 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016    0x7A 0x45 0x05 0xFD ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48    0x3E 0x1E 0x9E 0xE0 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472    0xF5 0x1D 0x4D 0x73 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d    0xDF 0x20 0x58 0x62 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b    0x31 0x77 0xE1 0xBA ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d    0x01 0x3A 0x48 0xFC ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3    0x51 0xFA 0x6E 0x91 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b    0x37 0xA4 0xAA 0xC3 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6    0xE3 0x0E 0x66 0xD5 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                      Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2    0x05 0x73 0x21 0xDD ...

---- EOF - GMER 1.0.15 ----

Malwarebytes

Code:

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.10.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
thepreacher :: DERDERDE-9D6EBC [Administrator]

10.07.2012 17:30:20
mbam-log-2012-07-10 (17-30-20).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 253201
Laufzeit: 6 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{20C28584-8F10-4D92-987C-0A1008E2435A} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrdr.AIEbho.1 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrdr.AIEbho (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{20C28584-8F10-4D92-987C-0A1008E2435A} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Löschen bei Neustart.

Infizierte Dateien: 3
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\thepreacher\Startmenü\Programme\Autostart\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\xmldm\1824_FF_0000000006.key (Stolen.Data) -> Löschen bei Neustart.

(Ende)

Avira

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 9. Juli 2012  20:54

Es wird nach 3853289 Virenstämmen gesucht.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : DERDERDE-9D6EBC

Versionsinformationen:
BUILD.DAT      : 9.0.0.429     21701 Bytes  06.10.2010 09:59:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  20.11.2009 02:15:33
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 02:15:33
VBASE001.VDF   : 7.11.0.0   13342208 Bytes  14.12.2010 16:33:38
VBASE002.VDF   : 7.11.19.170  14374912 Bytes  20.12.2011 00:24:37
VBASE003.VDF   : 7.11.21.238   4472832 Bytes  01.02.2012 21:42:57
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:58:53
VBASE005.VDF   : 7.11.34.116   4034048 Bytes  29.06.2012 13:02:57
VBASE006.VDF   : 7.11.34.117      2048 Bytes  29.06.2012 13:02:57
VBASE007.VDF   : 7.11.34.118      2048 Bytes  29.06.2012 13:02:57
VBASE008.VDF   : 7.11.34.119      2048 Bytes  29.06.2012 13:02:57
VBASE009.VDF   : 7.11.34.120      2048 Bytes  29.06.2012 13:02:57
VBASE010.VDF   : 7.11.34.121      2048 Bytes  29.06.2012 13:02:57
VBASE011.VDF   : 7.11.34.122      2048 Bytes  29.06.2012 13:02:57
VBASE012.VDF   : 7.11.34.123      2048 Bytes  29.06.2012 13:02:57
VBASE013.VDF   : 7.11.34.124      2048 Bytes  29.06.2012 13:02:57
VBASE014.VDF   : 7.11.34.201    169472 Bytes  02.07.2012 13:02:57
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 13:06:17
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 13:03:27
VBASE017.VDF   : 7.11.35.88      2048 Bytes  06.07.2012 13:03:27
VBASE018.VDF   : 7.11.35.89      2048 Bytes  06.07.2012 13:03:27
VBASE019.VDF   : 7.11.35.90      2048 Bytes  06.07.2012 13:03:27
VBASE020.VDF   : 7.11.35.91      2048 Bytes  06.07.2012 13:03:27
VBASE021.VDF   : 7.11.35.92      2048 Bytes  06.07.2012 13:03:28
VBASE022.VDF   : 7.11.35.93      2048 Bytes  06.07.2012 13:03:28
VBASE023.VDF   : 7.11.35.94      2048 Bytes  06.07.2012 13:03:28
VBASE024.VDF   : 7.11.35.95      2048 Bytes  06.07.2012 13:03:28
VBASE025.VDF   : 7.11.35.96      2048 Bytes  06.07.2012 13:03:28
VBASE026.VDF   : 7.11.35.97      2048 Bytes  06.07.2012 13:03:28
VBASE027.VDF   : 7.11.35.98      2048 Bytes  06.07.2012 13:03:28
VBASE028.VDF   : 7.11.35.99      2048 Bytes  06.07.2012 13:03:28
VBASE029.VDF   : 7.11.35.100      2048 Bytes  06.07.2012 13:03:28
VBASE030.VDF   : 7.11.35.101      2048 Bytes  06.07.2012 13:03:28
VBASE031.VDF   : 7.11.35.136    125440 Bytes  09.07.2012 13:03:30
Engineversion  : 8.2.10.106
AEVDF.DLL      : 8.1.2.8      106867 Bytes  02.06.2012 13:01:05
AESCRIPT.DLL   : 8.1.4.32     455034 Bytes  05.07.2012 13:07:20
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.01.2012 21:40:08
AESBX.DLL      : 8.2.5.12     606578 Bytes  14.06.2012 13:11:33
AERDL.DLL      : 8.1.9.15     639348 Bytes  08.09.2011 22:51:13
AEPACK.DLL     : 8.2.16.22    807288 Bytes  21.06.2012 13:05:24
AEOFFICE.DLL   : 8.1.2.40     201082 Bytes  28.06.2012 13:02:40
AEHEUR.DLL     : 8.1.4.64    5009782 Bytes  05.07.2012 13:07:16
AEHELP.DLL     : 8.1.23.2     258422 Bytes  28.06.2012 13:02:32
AEGEN.DLL      : 8.1.5.32     434548 Bytes  06.07.2012 13:03:32
AEEXP.DLL      : 8.1.0.60      86388 Bytes  05.07.2012 13:07:21
AEEMU.DLL      : 8.1.3.0      393589 Bytes  22.11.2010 17:01:47
AECORE.DLL     : 8.1.25.10    201080 Bytes  01.06.2012 13:00:57
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 18:45:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  09.11.2009 02:14:44
AVREP.DLL      : 10.0.0.9     174120 Bytes  05.03.2011 19:05:43
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  20.11.2009 02:15:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 9. Juli 2012  20:54

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '61296' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SWIHPWMI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'remoterm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'emaudsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqSRmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pthosttr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'asghost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HB12Plussvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '63' Prozesse mit '63' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13\6f97464d-7dea1e0f
  [0] Archivtyp: ZIP
    --> sIda/sIda.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
    --> sIda/sIdb.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV
    --> sIda/sIdc.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF
    --> sIda/sIdd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\3a84ed96-3c1f4241
  [0] Archivtyp: ZIP
    --> khfaf/cpkfmvdcq.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/08-5353.AJ.2
    --> khfaf/hryfvsmmmgbmrpk.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.CO.1
    --> khfaf/kuagmm.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.CZ
    --> khfaf/muwbfv.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.BM.2
    --> khfaf/qpuadlgpkalqpqmtwhsjlh.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.K
    --> khfaf/vfkgqapfmjsvrw.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.BN.1
    --> khfaf/whtvwswslbaaqjvbbhdunfd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.CP.1
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\6903df68-2fcb32e1
  [0] Archivtyp: ZIP
    --> sIda/sIdb.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
    --> sIda/sIdc.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CN
    --> sIda/sIda.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CO
    --> sIda/sIdd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.CU
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\56f7412f-5be13fda
  [0] Archivtyp: ZIP
    --> sIda/sIda.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
    --> sIda/sIdb.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV
    --> sIda/sIdc.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF
    --> sIda/sIdd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
C:\Dokumente und Einstellungen\thepreacher\Lokale Einstellungen\temp\jar_cache5873666947287260846.tmp
  [0] Archivtyp: ZIP
    --> ggggg/ggggg.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1023\A0131099.dll
    [FUND]      Ist das Trojanische Pferd TR/Rogue.kdv.668060
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131138.exe
    [FUND]      Ist das Trojanische Pferd TR/Jorik.Banker.bvk
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131155.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.Farko.mh
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131249.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131267.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Soundstudio>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13\6f97464d-7dea1e0f
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5034a919.qua' verschoben!
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\3a84ed96-3c1f4241
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5033a914.qua' verschoben!
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\6903df68-2fcb32e1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '502ba8ec.qua' verschoben!
C:\Dokumente und Einstellungen\thepreacher\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\56f7412f-5be13fda
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5061a8e9.qua' verschoben!
C:\Dokumente und Einstellungen\thepreacher\Lokale Einstellungen\temp\jar_cache5873666947287260846.tmp
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '506da914.qua' verschoben!
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1023\A0131099.dll
    [FUND]      Ist das Trojanische Pferd TR/Rogue.kdv.668060
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '502ca8e3.qua' verschoben!
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131138.exe
    [FUND]      Ist das Trojanische Pferd TR/Jorik.Banker.bvk
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '589723f4.qua' verschoben!
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131155.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.Farko.mh
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '590dcc7c.qua' verschoben!
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131249.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5576c4fc.qua' verschoben!
C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP1024\A0131267.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '591422cc.qua' verschoben!


Ende des Suchlaufs: Dienstag, 10. Juli 2012  05:59
Benötigte Zeit:  2:26:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  19836 Verzeichnisse wurden überprüft
 625692 Dateien wurden geprüft
     25 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 625665 Dateien ohne Befall
   6901 Archive wurden durchsucht
      2 Warnungen
     11 Hinweise
  61296 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

markusg · 11.07.2012, 22:56

hi
nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

derdaises · 11.07.2012, 23:18

hi markus,

die kiste hier nutz ich nur zum rumsurfen in der freizeit.
filme schaun
musik
paar spielerein
sozial network
quasie nur für entertainment als tv-ersatz.
neuaufsetzen wär ne qual.
angefangen mit den treibern (uralter HP)
dann müsst ich den ganzen keller durchsuchen um die codes zu finden fürs OS
und dann die ganzen programme wieder suchen

ich denk mal du weißt was ich meine.

für den job und banking hab ich einen anderen rechner.
der ist auch gar nicht so gefährdet da ich damit nicht wild durch die gegend surfe.

lg

c.

markusg · 14.07.2012, 12:01

schau mal auf der hp page obs driver gibt, schlüssel von windows kann man auslesen, ist ne sache von 5 minuten.
der pc sollte auf jeden fall neu gemacht werden.

derdaises · 14.07.2012, 12:30

hallo markus,

ok dann muss ich das wohl.

was kann ich denn tun dass das nicht wieder passiert?

nicht rumsurfen wär ja irgendwie keine option

lg

markusg · 15.07.2012, 19:34

finger weg von illegalen streams wie kinox.to ist schon mal nen anfang.
pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
arbeite die passage xp durch.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.72

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

11.07.2012, 22:56	#2
markusg /// Malware-holic	Java-Viren und etliche Trojaner hi nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches? __________________ __________________

Java-Viren und etliche Trojaner

Plagegeister aller Art und deren Bekämpfung: Java-Viren und etliche Trojaner