Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
unbekannte trojaner /rootkit Infektion

unbekannte trojaner /rootkit Infektion


Log-Analyse und Auswertung: unbekannte trojaner /rootkit Infektion

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.07.2012, 06:55   #1
MangoMan
 
unbekannte trojaner /rootkit Infektion - Standard

unbekannte trojaner /rootkit Infektion


Hey Leute,
ich bin am Verzweifeln und komme nach acht Stunden googlen, foren lesen, ausprobieren und schlaflosigkeit selbst nicht mehr weiter.

Mein Problem:
Ich war unvorsichtig und sehr dumm, und habe gestern Abend ein kleines Programm ausgeführt, welche nicht von GData als Trojaner identifiziert wurde... Direkt nach dem starten wollte dieses eine Verbindung zu 'promos.fling' aufbauen (wurde von fritzwebprotect abgefangen). Das Program war daraufhin nicht mehr im Ordnern in dem ich es ausgeführt habe nicht mehr vorhanden. Es folgten weitere UDP-Port Anfragen (udp port 68) und dns-anfragen (nach 'ojcpqnhrodavzlowbhfcug.com'), allerdings diesmal vom Generic Host Process (svchost.exe). Beiden Anfragen wiederholen sich seither fast minütlich.
Desweiteren habe ich das Gefühl, dass das System träger und langsamer reagiert als üblich.
Und beim booten ist nun ein weiß-gestrichelter Balken für 2sec. zu sehen (wie, beim aufwachen aus dem Ruhezustand) bevor dann das Windows XP Logo erscheint und der animierte Ladebalken.

Was ich bisher probiert habe:
-services.exe, svchost.exe und cmd.exe durch originale von der windows-cd mit der reperaturkonsole ersetzt -> kein unterschied
-mit einer GData BootCD das System gebooted und gescanned -> kein unterschied
-älteren Systemwiederherstellungspunkt geladen
-das programm nocheinmal gestartet und dabei ein filemonitor loggen lassen, welche dateizugriffe stattfinden (log siehe unten)
-avira antivir übers system laufen lassen -> kein unterschied
-OTL scannen lassen (log siehe unten)
-Norten Power Eraser probiert -> Zeitverschwendung
-Malwarebytes Anti-Malware scannen lassen -> kein Befund
-Gmer -> findet die versteckten svchost-prozesse und ein verstecktes module (lässt sich aber nicht entfernen)

mehr fällt mir gerade nicht ein, was ich noch alles ausprobiert habe.

Ich brauche hier dringend Hilfe, da ich ungern Windows neu aufsetzen würde und mir nichts mehr einfällt und ich auch nichts gefunden habe, was mir geholfen hat. Vielleicht hat jemand von Euch eine brilliante Idee!

Vielen Dank

----------------------
Die Logs:
OTL.txt
Zitat:
OTL logfile created on: 19.07.2012 04:32:10 - Run 1
OTL by OldTimer - Version 3.2.54.0 Folder = \\BlackIce\Exchange_BlackIce\shit
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1023,48 Mb Total Physical Memory | 387,25 Mb Available Physical Memory | 37,84% Memory free
3,35 Gb Paging File | 2,85 Gb Available in Paging File | 85,04% Paging File free
Paging file location(s): [Binary data over 100 bytes]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,56 Gb Total Space | 1,49 Gb Free Space | 2,00% Space Free | Partition Type: NTFS
Drive E: | 67,95 Gb Total Space | 20,01 Gb Free Space | 29,46% Space Free | Partition Type: NTFS
Drive F: | 6,53 Gb Total Space | 2,26 Gb Free Space | 34,67% Space Free | Partition Type: FAT32
Drive G: | 149,04 Gb Total Space | 5,64 Gb Free Space | 3,79% Space Free | Partition Type: NTFS

Computer Name: NICHT-DER-PC | User Name: Matthias | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.07.19 04:32:19 | 000,596,480 | ---- | M] (OldTimer Tools) -- \\BlackIce\Exchange_BlackIce\shit\OTL.exe
PRC - [2012.06.27 12:29:26 | 001,996,200 | ---- | M] (LogMeIn Inc.) -- C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
PRC - [2012.06.27 12:29:22 | 001,385,896 | ---- | M] (LogMeIn Inc.) -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe
PRC - [2012.03.23 16:55:44 | 007,351,760 | ---- | M] (QIP) -- E:\Programme\QIP 2012\qip.exe
PRC - [2011.06.21 21:38:50 | 000,644,096 | ---- | M] () -- E:\Programme\Synergy\synergyc.exe
PRC - [2009.08.20 12:44:38 | 000,615,688 | ---- | M] (hxxp://tortoisesvn.net) -- E:\Programme\TortoiseSVN\bin\TSVNCache.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.01.14 14:18:20 | 003,182,248 | ---- | M] (Beepa P/L) -- E:\Programme\Fraps\fraps.exe
PRC - [2007.03.23 10:32:55 | 002,173,744 | ---- | M] (Gainward Co.) -- C:\WINDOWS\TBPanel.exe
PRC - [2006.11.06 11:55:58 | 000,748,344 | ---- | M] (Sysinternals) -- C:\Dokumente und Einstellungen\Matthias\Desktop\Programme\Monitoring\Filemon.exe
PRC - [2006.11.01 14:07:34 | 003,623,736 | ---- | M] (Sysinternals) -- C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\procexp.exe
PRC - [2006.04.20 16:47:02 | 000,323,584 | ---- | M] (AVM Berlin GmbH) -- C:\Programme\avmwlanstick\FRITZWLANMini.exe
PRC - [2005.12.02 13:56:58 | 000,917,504 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\FwebProt.exe
PRC - [2005.11.21 11:34:24 | 000,081,920 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE
PRC - [2005.11.15 03:07:28 | 000,679,936 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe
PRC - [2004.07.20 18:18:54 | 000,090,112 | ---- | M] (ICSI Technology Ltd.) -- C:\WINDOWS\Dit.exe
PRC - [2004.06.29 10:13:04 | 000,192,574 | ---- | M] (Computer Associates International, Inc.) -- C:\Programme\CA\SharedComponents\Alert\alert.exe
PRC - [2004.06.26 00:17:44 | 000,504,080 | ---- | M] (Computer Associates International, Inc.) -- C:\Programme\CA\eTrust Antivirus\Realmon.exe
PRC - [2004.06.26 00:17:06 | 000,254,224 | ---- | M] (Computer Associates International, Inc.) -- C:\Programme\CA\eTrust Antivirus\InoTask.exe
PRC - [2004.06.26 00:16:54 | 000,241,936 | ---- | M] (Computer Associates International, Inc.) -- C:\Programme\CA\eTrust Antivirus\InoRT.exe


========== Modules (No Company Name) ==========

MOD - [2012.03.23 16:56:04 | 000,957,392 | ---- | M] () -- E:\Programme\QIP 2012\Protos\Social\Social.dll
MOD - [2012.03.23 16:56:00 | 001,641,936 | ---- | M] () -- E:\Programme\QIP 2012\Protos\MRA\mra.dll
MOD - [2012.03.23 16:56:00 | 000,049,104 | ---- | M] () -- E:\Programme\QIP 2012\Protos\MRA\pics.dll
MOD - [2012.03.23 16:55:56 | 002,524,112 | ---- | M] () -- E:\Programme\QIP 2012\Protos\InfICQ\inficq.dll
MOD - [2012.03.23 16:55:52 | 000,863,184 | ---- | M] () -- E:\Programme\QIP 2012\Plugins\qipradio\qipradio.dll
MOD - [2012.03.23 16:55:52 | 000,175,056 | ---- | M] () -- E:\Programme\QIP 2012\Plugins\ogorod\ogorod.dll
MOD - [2012.03.23 16:55:52 | 000,140,240 | ---- | M] () -- E:\Programme\QIP 2012\Plugins\cards\cards.dll
MOD - [2012.03.23 16:55:46 | 004,660,176 | ---- | M] () -- E:\Programme\QIP 2012\Core\voip.dll
MOD - [2011.06.21 21:38:50 | 000,644,096 | ---- | M] () -- E:\Programme\Synergy\synergyc.exe
MOD - [2009.11.18 23:38:38 | 000,077,824 | ---- | M] () -- E:\Programme\MediaMonkey\DeskPlayer.dll
MOD - [2009.08.20 12:44:16 | 000,101,128 | ---- | M] () -- E:\Programme\TortoiseSVN\bin\CrashRpt.dll
MOD - [2009.02.24 12:58:50 | 000,966,656 | ---- | M] () -- E:\Programme\Kruptos 2\KruptosShell.dll
MOD - [2008.07.10 16:27:42 | 000,132,608 | ---- | M] () -- E:\Programme\WinRAR\RarExt.dll
MOD - [2008.04.14 08:52:20 | 000,247,296 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
MOD - [2008.04.14 08:52:20 | 000,247,296 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll
MOD - [2008.04.14 08:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [1998.10.31 04:55:56 | 000,005,120 | ---- | M] () -- C:\WINDOWS\TBManage.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.07.11 01:34:53 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.06.27 12:29:22 | 001,385,896 | ---- | M] (LogMeIn Inc.) [Auto | Running] -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
SRV - [2012.06.05 15:17:44 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2011.08.08 22:38:08 | 000,031,232 | ---- | M] (oxid.it) [Disabled | Stopped] -- E:\Programme\Cain\Abel.exe -- (Abel)
SRV - [2011.06.21 21:38:50 | 000,644,096 | ---- | M] () [Auto | Running] -- E:\Programme\Synergy\synergyc.exe -- (Synergy Client)
SRV - [2010.08.13 13:58:56 | 000,144,672 | ---- | M] (Apple Inc.) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.06.25 19:07:20 | 000,117,264 | ---- | M] (CACE Technologies, Inc.) [On_Demand | Stopped] -- C:\Programme\WinPcap\rpcapd.exe -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)
SRV - [2010.02.19 13:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
SRV - [2008.05.08 01:29:38 | 000,122,880 | ---- | M] (CrypKey (Canada) Ltd.) [Auto | Stopped] -- C:\WINDOWS\System32\Crypserv.exe -- (Crypkey License)
SRV - [2008.03.14 01:05:26 | 000,079,360 | ---- | M] (Autodesk) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service)
SRV - [2007.12.21 04:01:02 | 000,060,928 | ---- | M] () [Disabled | Stopped] -- E:\Programme\xampp\service.exe -- (XAMPP)
SRV - [2007.11.27 16:38:04 | 000,695,136 | ---- | M] (National Instruments, Inc.) [Disabled | Stopped] -- C:\WINDOWS\system32\lkcitdl.exe -- (LkCitadelServer)
SRV - [2007.11.27 14:57:52 | 000,213,552 | ---- | M] (National Instruments Corporation) [Disabled | Stopped] -- E:\Programme\National Instruments\Shared\Security\nidmsrv.exe -- (NIDomainService)
SRV - [2007.11.27 14:57:20 | 000,050,736 | ---- | M] (National Instruments Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\lktsrv.exe -- (lkTimeSync)
SRV - [2007.11.27 14:56:48 | 000,040,488 | ---- | M] (National Instruments Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\lkads.exe -- (lkClassAds)
SRV - [2007.09.24 18:05:26 | 000,065,536 | ---- | M] () [Disabled | Stopped] -- G:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe -- (mi-raysat_3dsMax2008_32)
SRV - [2007.09.22 03:11:40 | 000,072,704 | ---- | M] (Adobe Systems) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2007.07.19 17:38:16 | 000,048,704 | ---- | M] (National Instruments Corp.) [Disabled | Stopped] -- C:\WINDOWS\system32\nisvcloc.exe -- (niSvcLoc)
SRV - [2007.01.29 16:19:48 | 001,007,616 | ---- | M] (Macrovision Corporation) [Disabled | Stopped] -- E:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe -- (NILM License Manager)
SRV - [2006.10.26 19:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005.11.21 11:34:24 | 000,081,920 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service)
SRV - [2005.11.21 10:48:06 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2005.02.21 18:10:00 | 000,061,440 | ---- | M] (Cyberlink) [Disabled | Stopped] -- C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe -- (CyberLink Media Library Service)
SRV - [2005.02.21 18:09:28 | 000,110,669 | ---- | M] () [Disabled | Stopped] -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe -- (CLSched) CyberLink Task Scheduler (CTS)
SRV - [2005.02.21 18:09:26 | 000,184,399 | ---- | M] () [Disabled | Stopped] -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe -- (CLCapSvc) CyberLink Background Capture Service (CBCS)
SRV - [2004.12.24 15:51:00 | 000,106,496 | ---- | M] () [Disabled | Stopped] -- C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe -- (BlueSoleil Hid Service)
SRV - [2004.06.29 10:13:04 | 000,192,574 | ---- | M] (Computer Associates International, Inc.) [Auto | Running] -- C:\Programme\CA\SharedComponents\Alert\alert.exe -- (Alert Notification Server)
SRV - [2004.06.26 00:17:06 | 000,254,224 | ---- | M] (Computer Associates International, Inc.) [Auto | Running] -- C:\Programme\CA\eTrust Antivirus\InoTask.exe -- (InoTask)
SRV - [2004.06.26 00:16:54 | 000,241,936 | ---- | M] (Computer Associates International, Inc.) [Auto | Running] -- C:\Programme\CA\eTrust Antivirus\InoRT.exe -- (InoRT)
SRV - [2004.06.26 00:16:50 | 000,139,536 | ---- | M] (Computer Associates International, Inc.) [Auto | Stopped] -- C:\Programme\CA\eTrust Antivirus\InoRpc.exe -- (InoRPC)
SRV - [2004.06.26 00:16:34 | 000,344,336 | ---- | M] (Computer Associates International, Inc.) [Auto | Stopped] -- C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe -- (InoNmSrv)
SRV - [2004.04.18 13:11:14 | 000,036,864 | ---- | M] () [Auto | Stopped] -- E:\Programme\OpenSSH\bin\cygrunsrv.exe -- (OpenSSHd)
SRV - [2003.03.09 07:31:02 | 000,065,795 | R--- | M] (HP) [Disabled | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
SRV - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) [Disabled | Stopped] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
SRV - [1998.07.07 00:00:00 | 000,034,036 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Visual Studio\Common\Tools\VS-Ent98\Vanalyzr\VARPC.EXE -- (Visual Studio Analyzer RPC bridge)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- L:\Spiele\Ultra Star Deluxe\zlportio.sys -- (zlportio)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\vaxscsi.sys -- (vaxscsi)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Programme\Lineage CT1 Aktuell\system\npkcusb.sys -- (npkcusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Programme\Lineage CT1 Aktuell\System\npkcrypt.sys -- (npkcrypt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\Matthias\LOKALE~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ezplay.sys -- (ezplay)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\Matthias\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a45c2o7o)
DRV - [2012.07.19 03:02:50 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBCRFT.SYS -- (CardReaderFilter)
DRV - [2010.09.26 23:15:26 | 000,483,200 | ---- | M] (ITETech ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AF15BDA.sys -- (AF15BDA)
DRV - [2010.07.01 14:12:23 | 000,101,248 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmaura.sys -- (avmaura)
DRV - [2010.06.25 19:07:14 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF)
DRV - [2010.01.30 21:07:58 | 000,278,984 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)
DRV - [2010.01.30 21:07:56 | 000,025,416 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2009.11.05 14:00:42 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2009.09.23 10:41:58 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2008.08.24 02:25:29 | 000,013,568 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\KuirMouFltr.sys -- (KuirMouFltr)
DRV - [2008.08.23 10:40:21 | 000,017,536 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\KuirKbdFltr.sys -- (KuirKbdFltr)
DRV - [2008.05.02 06:15:44 | 000,004,096 | ---- | M] () [Kernel | Unavailable | Unknown] -- E:\Programme\Unlocker\UnlockerDriver5.sys -- (UnlockerDriver5)
DRV - [2008.04.14 01:23:10 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008.04.14 01:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2008.04.12 19:19:40 | 000,003,026 | ---- | M] (Logix4u) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\hwinterface.sys -- (hwinterface)
DRV - [2008.03.17 18:45:52 | 000,019,584 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\Ckldrv.sys -- (NetworkX)
DRV - [2007.10.23 11:00:00 | 000,004,096 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\cvintdrv.sys -- (cvintdrv)
DRV - [2007.08.13 17:19:53 | 000,082,380 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2007.08.10 16:55:25 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dtscsi.sys -- (dtscsi)
DRV - [2007.07.20 14:30:58 | 000,014,208 | ---- | M] (Antares Audio Technologies) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\voxthing.sys -- (voxthing)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)
DRV - [2006.10.01 14:37:02 | 000,026,624 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tap0801.sys -- (tap0801)
DRV - [2006.09.24 15:28:46 | 000,005,248 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Boot | Running] -- C:\WINDOWS\system32\speedfan.sys -- (speedfan)
DRV - [2006.08.29 00:54:56 | 000,010,664 | ---- | M] (Applied Networking Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gan_adapter.sys -- (hamachi_oem)
DRV - [2006.04.06 01:00:00 | 000,264,704 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2005.12.18 20:42:12 | 000,008,801 | ---- | M] () [Kernel | On_Demand | Stopped] -- E:\Programme\DScaler\DSDrv4.sys -- (DSDrv4)
DRV - [2005.12.14 13:10:02 | 000,016,768 | ---- | M] (Saitek) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SaiIFFB5.sys -- (SaiIFFB5) Immersion's HID USB Driver (FFB5)
DRV - [2005.12.14 13:09:48 | 000,176,640 | ---- | M] (Saitek) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SaiHFFB5.sys -- (SaiHFFB5)
DRV - [2005.11.21 10:41:50 | 000,367,104 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NETFWDSL.SYS -- (NETFWDSL)
DRV - [2005.11.21 10:41:50 | 000,011,264 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\netdsl.sys -- (NETDSL)
DRV - [2005.11.21 07:48:20 | 000,016,512 | ---- | M] (Adaptec) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (Aspi32)
DRV - [2005.11.03 10:52:38 | 000,035,200 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SaiBus.sys -- (SaiNtBus)
DRV - [2005.11.03 10:52:34 | 000,013,824 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SaiMini.sys -- (SaiMini)
DRV - [2005.04.14 14:12:32 | 000,019,968 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync02.sys -- (sfsync02) StarForce Protection Synchronization Driver (version 2.x)
DRV - [2005.04.04 12:43:22 | 000,048,640 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005.02.23 17:59:54 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2005.01.31 17:33:16 | 000,802,048 | R--- | M] (Philips Semiconductors GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2005.01.13 15:20:00 | 000,012,500 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vbtenum.sys -- (BTHidEnum)
DRV - [2004.12.03 14:41:00 | 000,052,736 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt2500usb.sys -- (RT2500USB)
DRV - [2004.12.01 17:55:00 | 000,022,488 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2004.11.16 11:16:20 | 000,154,880 | ---- | M] (Computer Associates) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\ino_fltr.sys -- (INO_FLTR)
DRV - [2004.11.11 11:11:06 | 000,020,352 | ---- | M] (Computer Associates) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\ino_flpy.sys -- (INO_FLPY)
DRV - [2004.11.05 11:39:00 | 000,082,148 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VcommMgr.sys -- (VcommMgr)
DRV - [2004.10.19 13:40:00 | 000,028,207 | ---- | M] (IVT Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - [2004.10.19 13:37:00 | 000,061,312 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VComm.sys -- (VComm)
DRV - [2004.10.19 11:39:00 | 000,020,096 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2004.10.01 14:58:10 | 001,272,000 | ---- | M] (C-Media Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmudax.sys -- (cmudax)
DRV - [2004.09.21 18:15:00 | 000,010,804 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BtNetDrv.sys -- (BT)
DRV - [2004.08.04 14:00:00 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\fsvga.sys -- (FsVga)
DRV - [2004.03.24 04:12:34 | 000,017,280 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\nsndis5.sys -- (NSNDIS5)
DRV - [2004.03.17 16:10:40 | 000,113,664 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.03.09 12:18:09 | 000,065,504 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2004.03.09 11:45:49 | 000,077,184 | ---- | M] (Protection Technology) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2004.03.03 09:50:00 | 000,037,887 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LHidUsb.sys -- (LHidUsb)
DRV - [2004.03.03 09:50:00 | 000,014,095 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LCcfltr.sys -- (LCcfltr)
DRV - [2004.01.16 13:02:58 | 000,017,408 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2003.12.11 09:50:00 | 000,070,894 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFlt2.Sys -- (LMouFlt2)
DRV - [2003.12.11 09:50:00 | 000,051,582 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042pr2.Sys -- (L8042pr2)
DRV - [2003.12.11 09:50:00 | 000,025,630 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidFlt2.Sys -- (LHidFlt2)
DRV - [2003.12.01 17:20:52 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp01.sys -- (sfhlp01)
DRV - [2003.09.06 14:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\prosync1.sys -- (prosync1)
DRV - [2002.04.24 12:07:56 | 000,019,928 | ---- | M] (Winbond Electronics Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wbscr.sys -- (wbscr)
DRV - [1996.04.03 21:33:26 | 000,005,248 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\giveio.sys -- (giveio)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.qip.ru/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
IE - HKCU\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\URLSearchHook: {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
IE - HKCU\..\SearchScopes,DefaultScope = {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: "URL" = hxxp://search.qip.ru/search?query={searchTerms}&from=IE
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box;*.local

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: elemhidehelper@adblockplus.org:1.1.1
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.6
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.2
FF - prefs.js..extensions.enabledItems: {b1df372d-8b32-4c7d-b6b4-9c5b78cf6fb1}:0.87
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.14.2
FF - prefs.js..extensions.enabledItems: {3CE993BF-A3D9-4fd2-B3B6-768CBBC337F8}:0.9.6
FF - prefs.js..extensions.enabledItems: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.9.2
FF - prefs.js..extensions.enabledItems: {FFA36170-80B1-4535-B0E3-A4569E497DD0}:3.0.0
FF - prefs.js..extensions.enabledItems: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.5
FF - prefs.js..extensions.enabledItems: {e968fc70-8f95-4ab9-9e79-304de2a71ee1}:0.7.3
FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.10
FF - prefs.js..extensions.enabledItems: {66871bd1-5ba2-4739-b485-2a15f5969bd8}:2.20100123
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.no_proxies_on: "127.0.0.1"
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 8118
FF - prefs.js..network.proxy.type: 4


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: E:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: C:\Programme\DivX\DivX Content Uploader\npUpload.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.3088: E:\Programme\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.11.3006: E:\Programme\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Programme\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc;version=0.8.6d: E:\Programme\VLC\npvlc.dll (VideoLAN Team)
FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
FF - HKCU\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Programme\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.11 01:34:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.08 17:55:17 | 000,000,000 | ---D | M]

[2010.08.31 13:49:00 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Extensions
[2012.07.05 19:09:02 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions
[2012.06.29 22:25:56 | 000,000,000 | ---D | M] (Forecastfox) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}
[2011.04.26 18:28:29 | 000,000,000 | ---D | M] ("Stop Autoplay") -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{2e61e246-e640-4c56-b1ed-f146dbed48cd}
[2009.12.22 01:17:48 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.02.05 17:25:53 | 000,000,000 | ---D | M] (MidnightFox) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{66871bd1-5ba2-4739-b485-2a15f5969bd8}
[2008.04.17 19:40:32 | 000,000,000 | ---D | M] (Blue Ice 2) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{a8dd47cf-239f-48c4-8379-e6b4cbafdcfa}
[2008.06.22 14:50:47 | 000,000,000 | ---D | M] (Temporary Inbox) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{ac1e10b8-206d-4746-a18e-0483852dc20b}
[2010.01.12 13:44:06 | 000,000,000 | ---D | M] (FirefoxAdKiller) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{b1df372d-8b32-4c7d-b6b4-9c5b78cf6fb1}
[2012.03.29 23:13:26 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2008.08.28 17:43:59 | 000,000,000 | ---D | M] ("Tab Mix Plus") -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{dc572301-7619-498c-a57d-39143191b318}
[2010.02.05 17:25:58 | 000,000,000 | ---D | M] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{DCBD1271-D228-4082-9FBC-36D9B7660B03}
[2010.05.31 19:08:23 | 000,000,000 | ---D | M] (Torbutton) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2012.05.20 16:18:07 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2011.01.19 23:01:04 | 000,000,000 | ---D | M] (User Agent Switcher) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1}
[2010.01.14 14:45:41 | 000,000,000 | ---D | M] (Mouse Gestures Redox) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{FFA36170-80B1-4535-B0E3-A4569E497DD0}
[2008.06.27 16:32:54 | 000,000,000 | ---D | M] (SQLite Manager) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\SQLiteManager@mrinalkant.blogspot(2).com
[2008.02.11 15:42:52 | 000,000,000 | ---D | M] (translator) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\translator@dontfollowme.net
[2010.02.05 17:25:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{66871bd1-5ba2-4739-b485-2a15f5969bd8}\chrome\mozapps\extensions
[2010.02.05 17:25:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\6o2r5ds8.default\extensions\{66871bd1-5ba2-4739-b485-2a15f5969bd8}\chrome\mozapps\extensions\CVS
[2011.11.10 12:47:41 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2007.08.11 12:39:42 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2011.07.18 00:56:58 | 000,097,169 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\MATTHIAS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\6O2R5DS8.DEFAULT\EXTENSIONS\{3D7EB24F-2740-49DF-8937-200B1CC08F8A}.XPI
[2012.07.05 19:02:46 | 000,340,684 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\MATTHIAS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\6O2R5DS8.DEFAULT\EXTENSIONS\{A7C6CF7F-112C-4500-A7EA-39801A327E5F}.XPI
[2012.07.11 01:34:54 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2007.02.08 11:48:16 | 000,028,448 | ---- | M] (National Instruments) -- C:\Programme\mozilla firefox\plugins\NPLV82Win32.dll
[2007.07.24 19:03:42 | 000,023,040 | ---- | M] (National Instruments) -- C:\Programme\mozilla firefox\plugins\nplv85win32.dll
[2006.08.09 12:16:08 | 000,030,408 | ---- | M] ( ) -- C:\Programme\mozilla firefox\plugins\npWebLaunch.dll
[2012.02.27 22:52:25 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.27 22:52:25 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.02.27 22:52:25 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.27 22:52:25 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.27 22:52:25 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.27 22:52:25 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009.11.05 13:43:35 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (QIPBHO Class) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH)
O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe (ICSI Technology Ltd.)
O4 - HKLM..\Run: [Gainward] C:\WINDOWS\TBPanel.exe (Gainward Co.)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] nwiz.exe /installquiet File not found
O4 - HKLM..\Run: [Realtime Monitor] C:\Programme\CA\eTrust Antivirus\Realmon.exe (Computer Associates International, Inc.)
O4 - HKLM..\Run: [srclient] E:\Programme\Multi Screen Remote Desktop\Client\srclient.exe File not found
O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\Hdaudpropshortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKCU..\Run: [AlcoholAutomount] C:\Programme\Alcohol 120\axcmd.exe (Alcohol Soft Development Team)
O4 - HKCU..\Run: [Fraps] E:\Programme\Fraps\fraps.exe (Beepa P/L)
O4 - HKCU..\Run: [Infium] E:\Programme\QIP 2012\qip.exe (QIP)
O4 - HKCU..\Run: [Synergy Client] "E:\Programme\Synergy+\bin\synergyc.exe" --no-daemon --debug WARNING --name nicht-der-pc 192.168.178.29:24800 File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\nno_helpsvc minimiert.lnk = C:\Dokumente und Einstellungen\Matthias\Desktop\no_helpsvc.bat ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\synergy_start_hidden_minimiert.bat.lnk = C:\Dokumente und Einstellungen\Matthias\Desktop\synergy_start_hidden.bat ()
O4 - Startup: C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\procexp.exe (Sysinternals)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\FRITZ!DSL\SARAH.DLL (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000031 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000032 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000033 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000034 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000035 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000036 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000037 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000038 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000039 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000040 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000041 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000042 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000043 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000044 - C:\Programme\FRITZ!DSL\sarah.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000045 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab (Java Plug-in 1.5.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{32254CDF-EEA0-43A6-B13E-F55A91DC1531}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.08.08 14:09:14 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.04.23 09:20:18 | 000,000,000 | ---- | M] () - G:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{0b9c21fa-cdd0-11dd-a83f-001109bb6ad6}\Shell - "" = AutoRun
O33 - MountPoints2\{0b9c21fa-cdd0-11dd-a83f-001109bb6ad6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0b9c21fa-cdd0-11dd-a83f-001109bb6ad6}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autostart\autostart.exe
O33 - MountPoints2\{0b9c21fa-cdd0-11dd-a83f-001109bb6ad6}\Shell\open\command - "" = J:\autostart\autostart.exe
O33 - MountPoints2\{0e2c4f94-8b13-11e1-aced-001109bb6ad6}\Shell - "" = AutoRun
O33 - MountPoints2\{0e2c4f94-8b13-11e1-aced-001109bb6ad6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0e2c4f94-8b13-11e1-aced-001109bb6ad6}\Shell\AutoRun\command - "" = D:\LaunchU3.exe -a
O33 - MountPoints2\{20c9608e-466e-11dc-8f48-001109bb6ad6}\Shell - "" = AutoRun
O33 - MountPoints2\{20c9608e-466e-11dc-8f48-001109bb6ad6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{20c9608e-466e-11dc-8f48-001109bb6ad6}\Shell\AutoRun\command - "" = D:\autorun.exe
O33 - MountPoints2\{4551f081-4c1e-11dc-8f59-001109bb6ad6}\Shell - "" = AutoRun
O33 - MountPoints2\{4551f081-4c1e-11dc-8f59-001109bb6ad6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4551f081-4c1e-11dc-8f59-001109bb6ad6}\Shell\AutoRun\command - "" = D:\pushinst.exe
O33 - MountPoints2\{e10317f8-c9f7-11de-a9b9-001109bb6ad6}\Shell - "" = AutoRun
O33 - MountPoints2\{e10317f8-c9f7-11de-a9b9-001109bb6ad6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e10317f8-c9f7-11de-a9b9-001109bb6ad6}\Shell\AutoRun\command - "" = J:\autorun.exe
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\LaunchU3.exe -a
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.06.27 18:15:18 | 000,000,000 | ---D | C] -- C:\Programme\LogMeIn Hamachi
[2012.06.27 18:15:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\LogMeIn Hamachi
[2012.06.20 17:42:46 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2012.06.20 17:42:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Skype
[2008.04.04 15:16:09 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\pcouffin.sys
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.07.19 04:45:19 | 000,000,558 | ---- | M] () -- C:\WINDOWS\DFC.INI
[2012.07.19 03:58:25 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2012.07.19 03:02:50 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) -- C:\WINDOWS\System32\drivers\USBCRFT.SYS
[2012.07.19 03:02:49 | 000,271,490 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2012.07.19 03:02:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.19 03:02:25 | 1073,270,784 | -HS- | M] () -- C:\hiberfil.sys
[2012.07.18 18:03:42 | 000,004,608 | ---- | M] () -- C:\6XSourceFilter.grf
[2012.07.17 22:37:13 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.11 02:00:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-NICHT-DER-PC-Matthias.job
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.12.15 06:39:42 | 000,042,392 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll
[2011.01.15 18:12:29 | 000,000,056 | RHS- | C] () -- C:\WINDOWS\System32\6A04F42D57.sys
[2010.10.17 14:43:37 | 000,000,119 | ---- | C] () -- C:\WINDOWS\Podcasts.INI
[2010.09.26 23:30:19 | 000,000,014 | ---- | C] () -- C:\WINDOWS\System32\systeminfo.dll
[2010.09.26 23:15:34 | 000,000,140 | ---- | C] () -- C:\WINDOWS\System32\AF15IRTBL.bin
[2010.09.20 16:32:12 | 000,311,296 | ---- | C] () -- C:\WINDOWS\System32\AegisI5.exe
[2010.09.20 16:32:12 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\installrt2500qa.dll
[2010.08.26 21:27:02 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2010.07.01 14:09:45 | 000,163,544 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.05.17 21:58:12 | 000,000,115 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\mm.cfg
[2010.05.03 15:48:16 | 000,001,876 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SquadManagerOptions.xml
[2010.03.16 15:02:39 | 000,000,001 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\SI.bin
[2009.12.26 23:54:36 | 000,008,393 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\.civclientrc
[2009.12.07 20:34:37 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\pssetup.cfg
[2009.05.09 03:08:39 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\output.arc
[2009.05.08 15:42:55 | 000,000,089 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\DelinvFile.ini
[2009.01.25 16:04:25 | 000,003,640 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\wklnhst.dat
[2008.05.22 23:58:11 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.04.25 16:47:25 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\ntuserdirect_MSManager.dat
[2008.04.04 15:16:09 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\pcouffin.cat
[2008.04.04 15:16:09 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\pcouffin.inf
[2008.03.04 19:01:57 | 000,000,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\.xmaximarc
[2007.11.30 18:12:11 | 000,002,949 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\QTSBandwidthCache
[2007.08.28 20:54:51 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\default.pls
[2007.08.08 23:38:14 | 000,210,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.08.08 12:11:06 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

========== LOP Check ==========

[2007.08.14 19:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\1&1
[2009.06.02 21:10:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Autodesk
[2010.09.26 23:30:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BlazeVideo
[2007.08.10 00:44:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Bluetooth
[2009.11.05 14:00:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DAEMON Tools Lite
[2009.11.05 13:07:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DAEMON Tools Pro
[2009.10.12 13:36:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Degener
[2009.11.20 10:57:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DriverScanner
[2010.08.26 22:11:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MAGIX
[2007.08.08 14:08:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\muvee Technologies
[2009.02.16 17:16:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\National Instruments
[2010.09.26 23:31:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Plugins
[2010.05.21 14:26:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Print Distributor
[2010.10.17 13:46:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\RapidSolution
[2010.06.02 01:41:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
[2012.07.19 03:03:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
[2008.08.28 10:17:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Ubisoft
[2009.04.26 23:56:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
[2010.11.06 16:57:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.12.27 17:20:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\.freeciv
[2007.08.14 19:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\1&1
[2010.01.23 15:14:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\1.0.0.0
[2008.08.03 09:55:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Acreon
[2007.08.08 12:33:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Activision
[2008.06.20 21:10:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Atari
[2008.03.14 01:17:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Autodesk
[2009.05.03 01:36:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Azureus
[2009.10.24 21:35:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Bioshock
[2009.02.16 16:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\CadSoft
[2007.11.16 20:42:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\CoffeeCup Software
[2010.02.16 21:36:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Crayon Physics Deluxe
[2009.12.25 21:18:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\CrystalApp
[2009.10.25 19:25:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\CrystalSpace
[2009.11.06 13:39:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\DAEMON Tools Lite
[2009.11.05 13:00:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\DAEMON Tools Pro
[2008.03.15 13:43:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Datarescue
[2009.10.11 16:29:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Degener
[2008.03.11 17:27:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Dev-Cpp
[2008.05.22 23:58:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\EarthC Studio
[2008.06.30 00:57:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\EasyMangosHandler
[2009.10.11 16:29:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Ebner
[2008.02.04 03:00:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\fltk.org
[2008.08.28 16:57:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\FreeOrion
[2012.07.19 02:48:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\FRITZ!
[2009.05.09 03:21:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Fujitsu
[2008.09.27 13:43:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\GetRightToGo
[2008.02.21 22:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\GolemLabs Laboratories
[2010.06.27 21:55:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\gtk-2.0
[2010.04.20 21:39:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Hippo_OpenSim_Viewer
[2008.02.14 17:17:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ICQ
[2007.08.08 12:32:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ICQLite
[2008.05.22 23:38:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ID Resolver
[2008.08.20 20:21:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Leadertech
[2010.04.09 01:50:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\LOVE
[2010.08.26 21:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\MAGIX
[2007.08.10 12:20:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\My Battle for Middle-earth(tm) II Files
[2009.02.16 17:22:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\National Instruments
[2008.06.07 21:09:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\NOM
[2008.11.16 13:29:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Notepad++
[2009.01.31 23:44:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\OpenOffice.org
[2008.11.30 14:41:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Opera
[2009.06.02 20:30:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\PE Explorer
[2008.04.15 15:13:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Petroglyph
[2010.03.25 20:17:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\PlaneShift
[2010.08.09 21:01:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\QIP
[2009.09.20 00:57:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SecondLife
[2007.08.08 12:31:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sierra
[2009.02.02 16:33:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sierra Entertainment
[2009.12.13 18:09:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Soldat
[2008.10.15 11:50:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SPORE
[2008.08.09 01:12:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SPORE Creature Creator
[2010.10.17 13:31:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\streamripper
[2007.10.21 00:17:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Subversion
[2011.11.12 17:31:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SystemTools
[2008.05.23 23:15:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Ubisoft
[2009.04.26 23:56:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Uniblue
[2012.01.05 11:53:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\uTorrent
[2008.03.16 16:25:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\vexorian
[2012.01.11 22:55:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Vso
[2007.08.20 21:36:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\WinSplit
[2011.07.28 13:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Wireshark
[2007.11.28 22:23:57 | 000,000,340 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1187018411.job

========== Purity Check ==========



========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\WINDOWS\$NtUninstallKB3662$] -> -> Unknown point type

========== Alternate Data Streams ==========

@Alternate Data Stream - 514 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:05EE1EEF

< End of report >
Das GMER log ist noch nicht ganz fertig, aber ich brauch jetzt endlich mal Schlaf

Extras.txt, Filemon_log.txt und der Teil der Gmer.logi m Anhang:

Alt 20.07.2012, 19:51   #2
markusg
/// Malware-holic
 
unbekannte trojaner /rootkit Infektion - Standard

unbekannte trojaner /rootkit Infektion


hi
hast du den link zum download noch, falls ja, an mich als private nachicht.
oder die exe hochladen:
Trojaner-Board Upload Channel
__________________

__________________
Alt 20.07.2012, 20:45   #3
MangoMan
 
unbekannte trojaner /rootkit Infektion - Standard

unbekannte trojaner /rootkit Infektion


Hi,
vielen Dank, dass Du Dir mein Problem anschaust.
Habe es im Upload Channel hochgeladen.

In der Zwischenzeit habe ich weitere Informationen gesammelt.
-Abgesicherter Modus funktioniert nicht mehr -> schwarzer Bildschirm und blinkender "_"-Cursor in linker, oberer Ecke (auch nach einigen Minuten keine Reaktion)
-die exe auf hxxp://anubis.iseclab.org/ zur analyse hochgeladen (dort hat es allerdings nicht annähernd das selbe verhalten gezeigt, wie in meiner filemon_log.txt zu sehen ist)
-die datei nocheinmal von gdata scannen lassen (jetzt wird sie als Gen:Variant.Kazy.81771 identifiziert) (gdata läuft übrigens nicht auf dem ifnizierten pc sondern auf meinem anderen computer, habe auch probiert gdata auf dem infizierten pc zu installieren, aber ich kann keine updates durchführen)
-internet verbindung wird seit der infektion blockiert (firefox,icq, antivirus updates, etc.)
-virustotal.com hat noch andere namen für die exe:
antivir: TR/Crypt.ZPACK.Gen8
bitdefender: Gen:Variant.Kazy.81775
F-Secure: Gen:Variant.Kazy.81775
McAfee: ZeroAccess.fq
Microsoft: Trojan:Win32/Sirefef.P
Norman: W32/Kryptik.BPY
Symantec: Trojan.Gen
...
-Aufgrund der nun virennamen, habe ich das Bitdefender-Sirefef-Removal-Tool ausprobiert (welches kostenlos auf bitdefender.com zur verfügung gestellt wird), aber dieses tool konnte nichts finden und hat auch nichts entfernt
-Combofix konnte mir leider auch nicht helfen, da es bevor es die Uhr umstellt das System zum einfrieren bringt und combofix selbst nichts macht (auch nach mehr als 20min). im "autoscan"-fenster von combofix blinkt nur der cursor weiter und man kann die maus noch bewegen.
-einen ersten erfolg konnte ich verbuchen nachdem ich services.exe gekillt habe (es startete die versteckten svchost.exe), die shutdown warnung mit shutdown -a abgebrochen habe und die verbleibenden versteckten svchost.exe mit GMER gekillt habe. jetzt wurde keine verbindung mehr minütlich hergestellt. daraufhin habe ich den filemon-log gründlich durchgesehen und den Ordner C:\Windows\$NTUninstallKB3662$\ samt inhalt per cmd.exe gelöscht habe (über den explorer war es nicht aufzurufen). (Ich habe noch diverse andere dll umbenannt und mit meiner win-xp-cd wiederhergestellt, aber ich glaube das hatte keinen einfluss). danach habe ich mit Mbrfix den master boot record neu erstellt.
nach dem neustart wurden keine neuen verbindungen zu ocwj....
hergestellt. (der versuch der port udp68 öffnung bleibt, ich bin mir nicht sicher wodurch das verursacht wird.) und es gibt keine hidden processes und kein hidden module mehr unter gmer...

(ich habe soviel ausprobiert ich bin mir nicht sicher, ob ich alles gepostet habe)
__________________
Alt 20.07.2012, 20:48   #4
markusg
/// Malware-holic
 
unbekannte trojaner /rootkit Infektion - Standard

unbekannte trojaner /rootkit Infektion


und was ist die download quelle, als private nachicht bitte.
gdata erkennt das teil übrigens, machst du evtl. keine updates?
du hast dir das rootkit zero access eingehandelt
wenn du onlinebanking machst, lasse es sperren, du musst alle passwörter endern
da man dieses rootkit nicht 100 %ig sicher entfernen kann:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.07.2012, 22:13   #5
MangoMan
 
unbekannte trojaner /rootkit Infektion - Standard

unbekannte trojaner /rootkit Infektion


Ich weiß, dass gdata, das seit Donnerstag erkennt. Es hat es aber vorher (Mittwoch) nicht erkannt, d.h. die Signatur muss recht neu sein. Inzwischen hat mir der GData Support auch eine Antwort geschrieben, und zwar soll ich nun nocheinmal eine BootCD erstelllen und damit einen Scan durchlaufen lassen. Das passiert auch gerade, ich poste das Ergebnis sobald der Scan durch ist.

Tja schade, dass die Removal tools gegen diese Version von zero access nicht helfen...


Inzwischen (scan ist noch nicht fertig) hat gdata trojan.generic.1093307 in C:\windows\regs.exe gefunden.

Achja, zum neu aufsetzen: Nach meiner Kenntniss schreibt sich zero access in den mbr, und selbst wenn ich alles formatiere, wie kann ich sichergehen, dass auch an dieser Stelle alles sauber ist?

So Scan ist durchgelaufen! Ich kann bestätigen, dass es sich um Sirefef (Zero Access) handelt. Desweiteren bin ich mir sicher, dass dieser von meinem System entfernt wurde. Ich habe jedoch auf dem infizierten PC auch keine empfindlichen Daten, da dieser ausschließlich zum Musik hören und TV schauen genutzt wird, daher rate ich anderen wie "Markusg" geschrieben hat, zu einem komplett neuaufsetzen, falls man ganz sicher gehen möchte.

Ich habe eine GData Boot CD erstellt, damit den PC gebooted und ein Update durchführen lassen (wer kein bezahltes GData hat, der kann sich einen 30-Tage Testaccount erstellen und damit updaten lassen.). Danach habe ich den gesamten PC gescannt.

Auszug aus dem log:

Zitat:
Objekt: regs.exe
Pfad: /mnt/C:/WINDOWS/system32
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.1093307
Objekt: A0335975.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1513
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0335991.exe
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1513
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.1093307
Objekt: A0336080.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1514
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0337158.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1514
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0337080.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1514
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0337098.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1514
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0337117.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1514
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0337151.exe
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1514
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.1093307
Objekt: A0338156.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1515
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0339155.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1515
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0340155.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1515
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0340172.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1515
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0340402.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1517
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0344402.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1517
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0348423.sys
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1519
Status: Virus, Datei gelöscht
Virus: Win32:Sirefef-ACZ [Rtk]
Objekt: A0352874.exe
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1519
Status: Virus, Datei gelöscht
Virus: Gen:Trojan.Heur.AutoIT.1
Objekt: A0352899.exe
Pfad: /mnt/C:/System Volume Information/_restore{3C9C82A2-2B84-4718-A817-7E8B5AF29690}/RP1519
Status: Virus, Datei gelöscht
Virus: Gen:Trojan.Heur.AutoIT.1
Objekt: A0090880.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.739130
Objekt: A0090883.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Joke.Winerror
Objekt: A0090884.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.739130
Objekt: A0090885.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.IS.525835
Objekt: A0090886.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Backdoor.Generic.369620
Objekt: A0090888.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.739130
Objekt: A0090891.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.739130
Objekt: A0090892.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.IS.525835
Objekt: A0090893.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Backdoor.Generic.369620
Objekt: A0090975.exe
Pfad: /mnt/E:/System Volume Information/_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}/RP79
Status: Virus, Datei gelöscht
Virus: Trojan.Generic.344052
Danach habe ich mit der Reperaturkonsole der Windows CD nocheinmal den master boot record mit fixmbr und fixboot überschrieben und windows gestartet.

Soweit zeigt der PC ein normales Verhalten. Allerdings werde ich zur Sicherheit den PC nocheinmal über Nacht komplett scannen lassen, für den Fall, dass nicht alles gelöscht wurde und der PC neuinfiziert ist.

Derzeit lasse ich nocheinmal OTL und GMER scannen.

MfG

Geändert von MangoMan (20.07.2012 um 22:20 Uhr) Grund: etwas vergessen sry

Antwort

Themen zu unbekannte trojaner /rootkit Infektion
alternate, antivir, antivirus, bho, bonjour, booten, desktop, dringend, entfernen, eraser, firefox, fontcache, google, hdaudio.sys, helper, hidden, home, intranet, locker, logfile, module, neu aufsetzen, nodrives, notification, plug-in, problem, programm, registry, rootkit, safer networking, searchscopes, security, software, starten, svchost.exe, system, trojaner, user agent, visual studio, windows, windows xp


« Stream Sound stottert und hängt bei Mausbewegungen | GVU Bundestrojaner mit Webcam - Win7 »


Ähnliche Themen: unbekannte trojaner /rootkit Infektion


  1. Windows 7: fbdownoader im Browser, Infektion mit Gen:Adware.Heur.lu8@Yfys1Lli., unbekannte Netzwerke in Firewall
    Log-Analyse und Auswertung - 16.10.2014 (13)
  2. Infektion mit TR/Rootkit.Gen und TR/Crypt.EPACK.4696 - Windows Update und Avira Echtzeitscan funktionieren nicht mehr
    Log-Analyse und Auswertung - 27.05.2014 (4)
  3. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  4. AVG meldet Anti-Rootkit infektion unknown NtMapViewOfSection...
    Plagegeister aller Art und deren Bekämpfung - 04.05.2014 (14)
  5. Unbekannte Dateien im Downloadordner und unbekannte Programme auf dem Desktop
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (11)
  6. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  7. Rootkit-Infektion
    Log-Analyse und Auswertung - 03.02.2013 (1)
  8. Rootkit-Infektion?
    Log-Analyse und Auswertung - 18.06.2012 (1)
  9. Unbekannte Trojaner auf Mac - wie eingeschleust?
    Alles rund um Mac OSX & Linux - 24.04.2012 (1)
  10. Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (7)
  11. Avast Fehler 10050 - Infektion mit Rootkit.Zeroaccess?
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (19)
  12. Rootkit und JavaAgent Infektion
    Plagegeister aller Art und deren Bekämpfung - 05.08.2011 (8)
  13. Rootkit gefunden, Malware Infektion?
    Log-Analyse und Auswertung - 15.06.2011 (27)
  14. Reste (mailbot o.ä.) nach "rootkit.bagle" infektion
    Plagegeister aller Art und deren Bekämpfung - 12.05.2009 (5)
  15. Unbekannte Malware / Trojaner
    Log-Analyse und Auswertung - 08.11.2008 (10)
  16. Trojaner und unbekannte Benutzerkonten?
    Plagegeister aller Art und deren Bekämpfung - 06.12.2006 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema unbekannte trojaner /rootkit Infektion - Hey Leute, ich bin am Verzweifeln und komme nach acht Stunden googlen, foren lesen, ausprobieren und schlaflosigkeit selbst nicht mehr weiter. Mein Problem: Ich war unvorsichtig und sehr dumm, und - unbekannte trojaner /rootkit Infektion...
Archiv
Du betrachtest: unbekannte trojaner /rootkit Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131