Ein hartnäckiger Rootkit, und Toolbars nehme ich an

TrojanerHunterNEW · 28.07.2012, 21:32

Nun hat es mich auch erwischt, ich nehme an ein sehr hartnäckiger Rootkit hat mich erwüscht, und teile von Toolbars sind auch noch vorhanden.

Zur Vorgeschichte ich habe Emsisoft Anti-Malware ( kaufversion ) auf meinem Rechner, und auch Malwarebytes' Anti-Malware Free ( schon länger auf meinem Rechner ). So nun wen ich MBAM Starten tuhe für einen scan, und Emsisoft Anti-Malware ist noch aktiv, und auch MBAM, dann wird MBAM cirka immer nach 4 Sekunden, wie von Geisterhand " asgeknipst ", wen ich Emsisoft Anti-Malware, auschalten tuhe, pasiert das nicht der scan geht durch mit MBAM, aber keine funde...Wen ich aber machmal Emsisoft Anti-Malware starten tuhe, mache ich MBAM aus, ich sitze ja nicht immer am Rechner, dann nach Zeit X, hat sich der Rechner neugestartet, also scan nicht durch gelaufen, und mchmal leuft er durch, und kein ergebnis...Und wen ich Emsifoft Anti-Malware mit direkten Festplattenzugriff einen scan mache dan ist nach ca 65 % feierabend, nichts geht mehr. Hatte versucht die rescue CD von Kaspersky neu herunter zu laden ging nicht, sieht aus wie ein ein weißes Blatt mit Eselohr, rechte Seite, dann ist mir eingefallen, ich hatte so was schon in der Verganenheit erstellt, versucht, und nichts gefunden.

So und nun die Logs, oh wie ging das noch mal... Ich weiß das nicht mer ...

Kann mir noch geholfen werden ?

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-06-28.03 - XXXXXXX 28.07.2012 22:46:15.22.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.496 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\XXXXXXX\Desktop\Baum.exe
AV: Emsisoft Anti-Malware *Disabled/Updated* {0F8591BB-342B-4493-91C3-4E948ED21255}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-28 bis 2012-07-28 ))))))))))))))))))))))))))))))
.
.
2012-07-25 15:46 . 2012-07-25 15:46 -------- d-----r- d:\dokumente und einstellungen\Administrator\Eigene Dateien
2012-07-22 20:36 . 2012-07-28 20:41 -------- d-----w- d:\programme\Emsisoft Anti-Malware
2012-07-20 20:50 . 2012-07-20 21:08 -------- d-----w- D:\Test
2012-07-20 09:03 . 2012-07-20 09:03 -------- d-----w- d:\windows.0\system32\wbem\Repository
2012-07-19 13:53 . 2012-07-19 13:53 -------- d-----w- d:\programme\PrintKey2000
2012-07-17 19:28 . 2012-07-17 19:30 -------- d-----w- d:\programme\Toolbar Uninstaller
2012-07-16 21:32 . 2012-07-16 21:32 14356 ----a-w- D:\cc_20120716_233201.reg
2012-07-15 17:41 . 2012-07-15 17:41 -------- d-----w- D:\TDSSKiller_Quarantine
2012-07-15 13:56 . 2012-07-15 13:56 -------- d-sh--w- d:\dokumente und einstellungen\Administrator\PrivacIE
2012-07-14 18:39 . 2012-07-25 15:49 -------- d-----w- d:\programme\ThreatExpert Memory Scanner
2012-07-11 20:18 . 2012-07-11 20:18 -------- d-----w- D:\XZ
2012-07-10 18:00 . 2012-07-16 19:32 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\WiseConvert
2012-07-10 18:00 . 2012-07-10 18:00 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Conduit
2012-07-10 18:00 . 2012-07-10 18:00 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\temp
2012-07-10 17:59 . 2012-07-10 18:00 -------- d-----w- d:\programme\WiseConvert
2012-07-06 18:45 . 2012-07-06 18:45 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Anwendungsdaten\Malwarebytes
2012-07-06 18:45 . 2012-07-06 18:45 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-06 18:45 . 2012-07-12 09:05 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2012-07-06 18:45 . 2012-07-03 11:46 22344 ----a-w- d:\windows.0\system32\drivers\mbam.sys
2012-07-01 20:45 . 2012-07-01 20:45 -------- d-----w- d:\programme\Oracle
2012-06-29 18:11 . 2012-07-20 17:23 -------- d-----w- d:\programme\UVK
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-28 17:09 . 2012-04-03 18:08 426184 ----a-w- d:\windows.0\system32\FlashPlayerApp.exe
2012-07-28 17:09 . 2012-02-29 20:39 70344 ----a-w- d:\windows.0\system32\FlashPlayerCPLApp.cpl
2012-06-25 17:43 . 2012-06-25 17:42 8526 ----a-w- D:\cc_20120625_194250.reg
2012-06-13 13:55 . 2002-08-29 12:00 1866240 ------w- d:\windows.0\system32\win32k.sys
2012-06-05 15:49 . 2012-02-19 16:12 1372672 ------w- d:\windows.0\system32\msxml6.dll
2012-06-05 15:49 . 2002-08-29 12:00 1172480 ----a-w- d:\windows.0\system32\msxml3.dll
2012-06-04 15:35 . 2012-02-19 16:12 210968 ----a-w- d:\windows.0\system32\wuweb.dll
2012-06-04 15:35 . 2009-08-06 18:23 222448 ----a-w- d:\windows.0\system32\muweb.dll
2012-06-04 04:32 . 2002-08-29 12:00 152576 ----a-w- d:\windows.0\system32\schannel.dll
2012-06-02 13:19 . 2012-02-19 16:12 329240 ----a-w- d:\windows.0\system32\wucltui.dll
2012-06-02 13:19 . 2012-02-19 16:12 219160 ----a-w- d:\windows.0\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 18:24 18456 ----a-w- d:\windows.0\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- d:\windows.0\system32\wuapi.dll.mui
2012-06-02 13:19 . 2012-02-19 16:12 35864 ----a-w- d:\windows.0\system32\wups.dll
2012-06-02 13:19 . 2012-02-18 21:50 53784 ----a-w- d:\windows.0\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 18:24 45080 ----a-w- d:\windows.0\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- d:\windows.0\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2002-08-29 12:00 97304 ----a-w- d:\windows.0\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 18:24 23576 ----a-w- d:\windows.0\system32\wucltui.dll.mui
2012-06-02 13:19 . 2012-02-19 16:12 577048 ----a-w- d:\windows.0\system32\wuapi.dll
2012-06-02 13:19 . 2012-02-18 21:50 1933848 ----a-w- d:\windows.0\system32\wuaueng.dll
2012-06-02 13:18 . 2012-03-11 14:29 275696 ----a-w- d:\windows.0\system32\mucltui.dll
2012-06-02 13:18 . 2012-03-11 14:29 18160 ----a-w- d:\windows.0\system32\mucltui.dll.mui
2012-05-31 13:22 . 2012-02-19 10:24 604160 ----a-w- d:\windows.0\system32\crypt32.dll
2012-05-16 15:07 . 2004-02-06 17:07 916992 ----a-w- d:\windows.0\system32\wininet.dll
2012-05-11 14:40 . 2002-08-29 12:00 43520 ------w- d:\windows.0\system32\licmgr10.dll
2012-05-11 14:40 . 2002-08-29 12:00 1469440 ------w- d:\windows.0\system32\inetcpl.cpl
2012-05-11 11:38 . 2012-02-19 16:12 385024 ------w- d:\windows.0\system32\html.iec
2012-05-07 15:53 . 2012-05-07 15:53 102400 ----a-w- d:\windows.0\RegBootClean.exe
2012-05-05 03:14 . 2002-08-29 12:00 2194944 ------w- d:\windows.0\system32\ntoskrnl.exe
2012-05-05 03:14 . 2002-08-29 03:41 2071424 ------w- d:\windows.0\system32\ntkrnlpa.exe
2012-05-04 17:29 . 2012-06-09 18:00 143872 ----a-w- d:\windows.0\system32\javacpl.cpl
2012-05-04 17:29 . 2012-06-09 18:00 772504 ----a-w- d:\windows.0\system32\npDeployJava1.dll
2012-05-04 17:29 . 2012-06-09 18:00 687504 ----a-w- d:\windows.0\system32\deployJava1.dll
2012-05-02 13:46 . 2012-02-18 21:50 139656 ------w- d:\windows.0\system32\drivers\rdpwd.sys
2012-06-06 08:18 . 2012-04-12 08:21 97208 ----a-w- d:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot_2012-07-21_10.36.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-28 20:41 . 2012-07-28 20:41 16384 d:\windows.0\Temp\Perflib_Perfdata_560.dat
- 2012-06-05 23:00 . 2012-07-10 23:00 74924 d:\windows.0\Downloaded Program Files\tscan1.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 74924 d:\windows.0\Downloaded Program Files\tscan1.dat
- 2012-06-05 23:00 . 2012-07-10 23:00 98112 d:\windows.0\Downloaded Program Files\scrauth.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 98112 d:\windows.0\Downloaded Program Files\scrauth.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 3934 d:\windows.0\Downloaded Program Files\tscan1hd.dat
- 2012-06-05 23:00 . 2012-07-10 23:00 3934 d:\windows.0\Downloaded Program Files\tscan1hd.dat
- 2012-06-05 23:00 . 2012-07-10 23:00 1957 d:\windows.0\Downloaded Program Files\tinfl.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 1957 d:\windows.0\Downloaded Program Files\tinfl.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 2584 d:\windows.0\Downloaded Program Files\catalog.dat
- 2012-06-05 23:00 . 2012-07-10 23:00 2584 d:\windows.0\Downloaded Program Files\catalog.dat
+ 2012-07-28 17:09 . 2012-07-28 17:09 686792 d:\windows.0\system32\Macromed\Flash\FlashUtil32_11_3_300_268_Plugin.exe
+ 2012-07-27 22:09 . 2012-07-27 22:09 686792 d:\windows.0\system32\Macromed\Flash\FlashUtil32_11_3_300_268_ActiveX.exe
+ 2012-07-27 22:09 . 2012-07-27 22:09 466632 d:\windows.0\system32\Macromed\Flash\FlashUtil32_11_3_300_268_ActiveX.dll
- 2012-04-03 18:08 . 2012-07-12 17:09 250056 d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe
+ 2012-04-03 18:08 . 2012-07-28 17:09 250056 d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe
+ 2012-07-28 08:41 . 2012-07-28 08:41 225280 d:\windows.0\ERDNT\AutoBackup\28.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-28 08:41 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\28.07.2012\ERDNT.EXE
+ 2012-07-27 09:04 . 2012-07-27 09:04 225280 d:\windows.0\ERDNT\AutoBackup\27.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-27 09:04 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\27.07.2012\ERDNT.EXE
+ 2012-07-26 06:29 . 2012-07-26 06:29 225280 d:\windows.0\ERDNT\AutoBackup\26.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-26 06:29 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\26.07.2012\ERDNT.EXE
+ 2012-07-25 08:18 . 2012-07-25 08:18 225280 d:\windows.0\ERDNT\AutoBackup\25.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-25 08:18 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\25.07.2012\ERDNT.EXE
+ 2012-07-24 08:58 . 2012-07-24 08:58 225280 d:\windows.0\ERDNT\AutoBackup\24.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-24 08:58 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\24.07.2012\ERDNT.EXE
+ 2012-07-23 07:06 . 2012-07-23 07:06 225280 d:\windows.0\ERDNT\AutoBackup\23.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-23 07:06 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\23.07.2012\ERDNT.EXE
+ 2012-07-22 08:48 . 2012-07-22 08:48 225280 d:\windows.0\ERDNT\AutoBackup\22.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-22 08:48 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\22.07.2012\ERDNT.EXE
+ 2012-06-05 23:00 . 2012-07-24 23:00 399752 d:\windows.0\Downloaded Program Files\virscan6.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 320484 d:\windows.0\Downloaded Program Files\virscan4.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 158672 d:\windows.0\Downloaded Program Files\virscan3.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 575256 d:\windows.0\Downloaded Program Files\virscan2.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 177520 d:\windows.0\Downloaded Program Files\naveng32.dll
- 2012-06-05 23:00 . 2012-07-10 23:00 177520 d:\windows.0\Downloaded Program Files\naveng32.dll
- 2012-06-05 23:00 . 2012-07-10 23:00 284088 d:\windows.0\Downloaded Program Files\ecmsvr32.dll
+ 2012-06-05 23:00 . 2012-07-24 23:00 284088 d:\windows.0\Downloaded Program Files\ecmsvr32.dll
+ 2012-07-28 17:09 . 2012-07-28 17:09 9465032 d:\windows.0\system32\Macromed\Flash\NPSWF32_11_3_300_268.dll
+ 2012-07-28 08:41 . 2012-07-28 08:41 3252224 d:\windows.0\ERDNT\AutoBackup\28.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-27 09:04 . 2012-07-27 09:04 3252224 d:\windows.0\ERDNT\AutoBackup\27.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-26 06:29 . 2012-07-26 06:29 3252224 d:\windows.0\ERDNT\AutoBackup\26.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-25 08:18 . 2012-07-25 08:18 3252224 d:\windows.0\ERDNT\AutoBackup\25.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-24 08:58 . 2012-07-24 08:58 3252224 d:\windows.0\ERDNT\AutoBackup\24.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-23 07:06 . 2012-07-23 07:06 3252224 d:\windows.0\ERDNT\AutoBackup\23.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-22 08:48 . 2012-07-22 08:48 3252224 d:\windows.0\ERDNT\AutoBackup\22.07.2012\Users\00000001\NTUSER.DAT
+ 2012-06-05 23:00 . 2012-07-24 23:00 6917136 d:\windows.0\Downloaded Program Files\virscan9.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 1036990 d:\windows.0\Downloaded Program Files\virscan8.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 1077324 d:\windows.0\Downloaded Program Files\virscan1.dat
- 2012-06-05 23:00 . 2012-07-10 23:00 1946992 d:\windows.0\Downloaded Program Files\navex32a.dll
+ 2012-06-05 23:00 . 2012-07-24 23:00 1946992 d:\windows.0\Downloaded Program Files\navex32a.dll
+ 2012-06-05 23:00 . 2012-07-24 23:00 16311216 d:\windows.0\Downloaded Program Files\virscan5.dat
+ 2012-06-05 23:00 . 2012-07-24 23:00 289979863 d:\windows.0\Downloaded Program Files\virscan7.dat
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}"= "d:\programme\WiseConvert\prxtbWise.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
2011-05-09 08:49 176936 ----a-w- d:\programme\WiseConvert\prxtbWise.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}"= "d:\programme\WiseConvert\prxtbWise.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}"= "d:\programme\WiseConvert\prxtbWise.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="d:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"Microsoft Works Update Detection"="d:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"ArcSoft Connection Service"="d:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"SunJavaUpdateSched"="d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="d:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"emsisoft anti-malware"="d:\programme\emsisoft anti-malware\a2guard.exe" [2012-07-22 3408288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows.0\System32\CTFMON.EXE" [2008-04-14 15360]
.
d:\dokumente und einstellungen\XXXXXXX\Startmenü\Programme\Autostart\
ERUNT AutoBackup.lnk - d:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
.
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Printkey2000.lnk - d:\programme\PrintKey2000\Printkey2000.exe [2012-7-19 869376]
Secunia PSI Tray.lnk - d:\programme\Secunia\PSI\psi_tray.exe [2011-7-29 291896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecureBanking]
2012-05-23 18:09 364544 ----a-w- d:\programme\Secure Banking\SecureBanking.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\WINDOWS.0\\system32\\msiexec.exe"=
"c:\\av-cls\\wget.exe"= c:\\AV-CLS\\WGET.EXE
.
R1 A2DDA;A2 Direct Disk Access Support Driver;d:\programme\Emsisoft Anti-Malware\a2ddax86.sys [22.07.2012 22:36 17904]
R1 a2injectiondriver;a2injectiondriver;d:\programme\Emsisoft Anti-Malware\a2dix86.sys [22.07.2012 22:36 37856]
R1 a2util;a-squared Malware-IDS utility driver;d:\programme\Emsisoft Anti-Malware\a2util32.sys [22.07.2012 22:36 11776]
R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;d:\programme\Emsisoft Anti-Malware\a2service.exe [22.07.2012 22:36 3075920]
R2 MBAMService;MBAMService;d:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [06.07.2012 20:45 655944]
R2 Secunia PSI Agent;Secunia PSI Agent;d:\programme\Secunia\PSI\PSIA.exe --start-service --> d:\programme\Secunia\PSI\PSIA.exe --start-service [?]
R3 a2acc;a2acc;d:\programme\Emsisoft Anti-Malware\a2accx86.sys [22.07.2012 22:36 54072]
R3 MBAMProtector;MBAMProtector;d:\windows.0\system32\drivers\mbam.sys [06.07.2012 20:45 22344]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe [03.04.2012 20:08 250056]
S3 MozillaMaintenance;Mozilla Maintenance Service;d:\programme\Mozilla Maintenance Service\maintenanceservice.exe [06.06.2012 10:19 129976]
S3 PSI;PSI;d:\windows.0\system32\drivers\psi_mf.sys [01.09.2010 10:30 15544]
S3 rspSanity;rspSanity;d:\windows.0\system32\drivers\rspSanity32.sys [14.05.2012 16:14 27192]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-28 d:\windows.0\Tasks\Adobe Flash Player Updater.job
- d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 17:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com
IE: Web-Suche - d:\programme\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
FF - ProfilePath - d:\dokumente und einstellungen\XXXXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\gck24juj.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=109958&tt=060612_6_&babsrc=KW_ss&mntrId=ec958dbf00000000000000e018d428c4&q=
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=109958&tt=060612_6_
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - ec958dbf00000000000000e018d428c4
FF - user.js: extensions.BabylonToolbar_i.hardId - ec958dbf00000000000000e018d428c4
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15507
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.170:59
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-07-28 22:55
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwOpenFile
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1568)
d:\programme\Emsisoft Anti-Malware\a2hooks32.dll
d:\windows.0\system32\webcheck.dll
d:\windows.0\system32\WS2_32.dll
d:\windows.0\system32\WS2HELP.dll
.
Zeit der Fertigstellung: 2012-07-28 22:57:43
ComboFix-quarantined-files.txt 2012-07-28 20:57
ComboFix2.txt 2012-07-26 20:05
ComboFix3.txt 2012-07-25 19:38
ComboFix4.txt 2012-07-21 10:38
ComboFix5.txt 2012-07-28 20:44
.
Vor Suchlauf: 15 Verzeichnis(se), 57.268.203.520 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 58.516.267.008 Bytes frei
.
- - End Of File - - 36D2C841C4050AB0B9BB466CC935DB24OTL Logfile:

--- --- ---

Code:

ATTFilter

OTL logfile created on: 28.07.2012 23:03:04 - Run 2
OTL by OldTimer - Version 3.2.54.0 Folder = D:\Dokumente und Einstellungen\XXXXXX\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,49 Mb Total Physical Memory | 638,52 Mb Available Physical Memory | 62,39% Memory free
2,40 Gb Paging File | 1,96 Gb Available in Paging File | 81,51% Paging File free
Paging file location(s): D:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS.0 | %ProgramFiles% = D:\Programme
Drive C: | 48,82 Gb Total Space | 46,67 Gb Free Space | 95,58% Space Free | Partition Type: NTFS
Drive D: | 74,53 Gb Total Space | 54,53 Gb Free Space | 73,17% Space Free | Partition Type: NTFS
Drive E: | 100,22 Gb Total Space | 78,45 Gb Free Space | 78,28% Space Free | Partition Type: NTFS
 
Computer Name: YOUR-W01WIJB9WN | User Name: XXXXXX | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - D:\Programme\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
PRC - D:\Dokumente und Einstellungen\XXXXXX\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe (Oracle Corporation)
PRC - D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - D:\Programme\Secunia\PSI\psia.exe (Secunia)
PRC - D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac (ArcSoft Inc.)
PRC - D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
PRC - D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)
PRC - D:\WINDOWS.0\explorer.exe (Microsoft Corporation)
PRC - D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe (NVIDIA Corporation)
PRC - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (Microsoft® Corporation)
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (wuauserv) -- C:\WINDOWS\system32\wuauserv.dll File not found
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- D:\WINDOWS.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (a2AntiMalware) -- D:\Programme\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
SRV - (MBAMService) -- D:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MozillaMaintenance) -- D:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (JavaQuickStarterService) -- D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe (Oracle Corporation)
SRV - (Secunia PSI Agent) -- D:\Programme\Secunia\PSI\psia.exe (Secunia)
SRV - (ACDaemon) -- D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (tmcomm) -- D:\WINDOWS.0\system32\drivers\tmcomm.sys File not found
DRV - (PCIDump) -- File not found
DRV - (mbr) -- D:\Katze\mbr.sys File not found
DRV - (catchme) -- D:\DOKUME~1\XXXXXX\LOKALE~1\Temp\catchme.sys File not found
DRV - (MBAMProtector) -- D:\WINDOWS.0\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (a2acc) -- D:\Programme\Emsisoft Anti-Malware\a2accx86.sys (Emsisoft GmbH)
DRV - (a2injectiondriver) -- D:\Programme\Emsisoft Anti-Malware\a2dix86.sys (Emsisoft GmbH)
DRV - (A2DDA) -- D:\Programme\Emsisoft Anti-Malware\a2ddax86.sys (Emsi Software GmbH)
DRV - (rspSanity) -- D:\WINDOWS.0\system32\drivers\rspSanity32.sys (Resplendence Software Projects Sp.)
DRV - (WimFltr) -- D:\WINDOWS.0\system32\drivers\WimFltr.sys (Microsoft Corporation)
DRV - (PSI) -- D:\WINDOWS.0\system32\drivers\psi_mf.sys (Secunia)
DRV - (a2util) -- D:\Programme\Emsisoft Anti-Malware\a2util32.sys (Emsi Software GmbH)
DRV - (Afc) -- D:\WINDOWS.0\system32\drivers\afc.sys (Arcsoft, Inc.)
DRV - (nvatabus) -- D:\WINDOWS.0\system32\drivers\nvatabus.sys (NVIDIA Corporation)
DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- D:\WINDOWS.0\system32\drivers\nvapu.sys (NVIDIA Corporation)
DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- D:\WINDOWS.0\system32\drivers\nvax.sys (NVIDIA Corporation)
DRV - (nv_agp) -- D:\WINDOWS.0\system32\drivers\nv_agp.SYS (NVIDIA Corporation)
DRV - (NVENET) -- D:\WINDOWS.0\system32\drivers\NVENET.sys (NVIDIA Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS.0\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = {searchTerms} - Bing?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS.0\system32\blank.htm
IE - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - D:\Programme\WiseConvert\prxtbWise.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = {searchTerms} - Bing
IE - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..keyword.URL: "Babylon Search="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "Babylon Search"
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS.0\system32\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: D:\Programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: D:\WINDOWS.0\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: D:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: D:\WINDOWS.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: D:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: D:\Programme\Mozilla Firefox\components [2012.06.06 10:18:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins
 
[2012.06.13 10:26:35 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\XXXXXX\Anwendungsdaten\Mozilla\Extensions
[2012.06.17 00:59:48 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\XXXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\gck24juj.default\extensions
[2012.06.11 22:46:28 | 000,002,519 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\gck24juj.default\searchplugins\Search_Results.xml
[2012.06.13 10:26:35 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions
[2012.06.06 10:18:15 | 000,097,208 | ---- | M] (Mozilla Foundation) -- D:\Programme\mozilla firefox\components\browsercomps.dll
[2012.03.13 07:23:34 | 000,001,392 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.13 07:06:36 | 000,002,252 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.03.13 07:23:34 | 000,001,153 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.13 07:23:34 | 000,006,805 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.13 07:23:34 | 000,001,178 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.13 07:23:34 | 000,001,105 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.07.21 12:36:30 | 000,000,027 | ---- | M]) - D:\WINDOWS.0\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - D:\Programme\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - D:\Programme\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\..\Toolbar\WebBrowser: (WiseConvert Toolbar) - {EBD898F8-FCF6-4694-BC3B-EABC7271EEB1} - D:\Programme\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O4 - HKLM..\Run: [ArcSoft Connection Service] D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
O4 - HKLM..\Run: [emsisoft anti-malware] d:\programme\emsisoft anti-malware\a2guard.exe (Emsisoft GmbH)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [Microsoft Works Update Detection] D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (Microsoft® Corporation)
O4 - HKLM..\Run: [NVMixerTray] D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk = D:\Programme\PrintKey2000\Printkey2000.exe (Fred's Software)
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk = D:\Programme\Secunia\PSI\psi_tray.exe (Secunia)
O4 - Startup: D:\Dokumente und Einstellungen\XXXXXX\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = D:\Programme\ERUNT\AUTOBACK.EXE ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-117609710-1275210071-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Web-Suche - D:\Programme\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://download.microsoft.com/downlo...eckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} http://security.symantec.com/sscv6/S...in/AvSniff.cab (Symantec AntiVirus scanner)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/wind...?1340444198610 (WUWebControl Class)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/S.../bin/cabsa.cab (Symantec RuFSI Utility Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/micr...?1340301507500 (MUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/ge...sh/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS.0\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (D:\WINDOWS.0\system32\userinit.exe) - D:\WINDOWS.0\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.02.18 23:54:09 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.28 22:58:17 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\TB_Logs
[2012.07.28 20:52:40 | 127,231,689 | ---- | C] (Igor Pavlov) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\OTLPENet.exe
[2012.07.28 15:38:48 | 000,726,824 | ---- | C] (Eric Lawrence) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Fiddler2Setup.exe
[2012.07.28 15:36:21 | 000,596,368 | ---- | C] (VirusBlokAda Ltd.) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\F3F4162901.exe
[2012.07.27 19:07:30 | 002,139,704 | ---- | C] (Conduit) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\WiseConvert.exe
[2012.07.24 13:22:36 | 002,136,664 | ---- | C] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\TDSSKiller.exe
[2012.07.22 22:36:17 | 000,000,000 | ---D | C] -- D:\Programme\Emsisoft Anti-Malware
[2012.07.21 20:22:25 | 000,623,304 | ---- | C] (No company) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\LanmanCheck.exe
[2012.07.20 22:50:03 | 000,000,000 | ---D | C] -- D:\Test
[2012.07.19 19:38:45 | 000,823,576 | ---- | C] (Bandoo Media Inc) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\iLividSetupV1.exe
[2012.07.19 15:53:11 | 000,000,000 | ---D | C] -- D:\Programme\PrintKey2000
[2012.07.19 15:53:11 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Startmenü\Programme\PrintKey2000
[2012.07.18 20:15:05 | 000,596,480 | ---- | C] (OldTimer Tools) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\OTL.exe
[2012.07.17 22:33:48 | 000,621,480 | ---- | C] (Emsi Software GmbH) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\emsiclean.exe
[2012.07.17 21:28:32 | 000,000,000 | ---D | C] -- D:\Programme\Toolbar Uninstaller
[2012.07.17 21:28:32 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Toolbar Uninstaller
[2012.07.16 23:31:38 | 000,000,000 | RH-D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Recent
[2012.07.16 19:47:11 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Startmenü\Programme\UVK
[2012.07.15 21:28:33 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\NoVirusThanks
[2012.07.15 19:41:06 | 000,000,000 | ---D | C] -- D:\TDSSKiller_Quarantine
[2012.07.15 19:35:27 | 002,135,640 | ---- | C] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Kilerkiller.exe
[2012.07.14 20:39:31 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ThreatExpert Memory Scanner
[2012.07.14 20:39:30 | 000,000,000 | ---D | C] -- D:\Programme\ThreatExpert Memory Scanner
[2012.07.11 22:18:34 | 000,000,000 | ---D | C] -- D:\XZ
[2012.07.10 20:00:25 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\WiseConvert
[2012.07.10 20:00:24 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\Conduit
[2012.07.10 20:00:22 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\temp
[2012.07.10 19:59:37 | 000,000,000 | ---D | C] -- D:\Programme\WiseConvert
[2012.07.06 20:45:54 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\XXXXXX\Anwendungsdaten\Malwarebytes
[2012.07.06 20:45:49 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.07.06 20:45:49 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.07.06 20:45:48 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- D:\WINDOWS.0\System32\drivers\mbam.sys
[2012.07.06 20:45:48 | 000,000,000 | ---D | C] -- D:\Programme\Malwarebytes' Anti-Malware
[2012.07.03 20:22:58 | 000,518,144 | ---- | C] (SteelWerX) -- D:\WINDOWS.0\SWREG.exe
[2012.07.03 20:22:58 | 000,406,528 | ---- | C] (SteelWerX) -- D:\WINDOWS.0\SWSC.exe
[2012.07.03 20:22:58 | 000,212,480 | ---- | C] (SteelWerX) -- D:\WINDOWS.0\SWXCACLS.exe
[2012.07.03 20:22:58 | 000,060,416 | ---- | C] (NirSoft) -- D:\WINDOWS.0\NIRCMD.exe
[2012.07.03 20:22:48 | 000,000,000 | ---D | C] -- D:\Qoobox
[2012.07.01 22:45:01 | 000,000,000 | ---D | C] -- D:\Programme\Oracle
[2012.07.01 22:44:55 | 000,227,720 | ---- | C] (Oracle Corporation) -- D:\WINDOWS.0\System32\javaws.exe
[2012.07.01 22:44:35 | 000,174,064 | ---- | C] (Oracle Corporation) -- D:\WINDOWS.0\System32\javaw.exe
[2012.07.01 22:44:35 | 000,174,064 | ---- | C] (Oracle Corporation) -- D:\WINDOWS.0\System32\java.exe
[2012.06.29 20:11:10 | 000,000,000 | ---D | C] -- D:\Programme\UVK
[2012.06.29 20:08:26 | 005,525,640 | ---- | C] (Carifred) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\UVKPortable.exe
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.28 22:41:19 | 000,002,048 | --S- | M] () -- D:\WINDOWS.0\bootstat.dat
[2012.07.28 21:09:00 | 000,000,888 | ---- | M] () -- D:\WINDOWS.0\tasks\Adobe Flash Player Updater.job
[2012.07.28 20:52:45 | 127,231,689 | ---- | M] (Igor Pavlov) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\OTLPENet.exe
[2012.07.28 19:09:27 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- D:\WINDOWS.0\System32\FlashPlayerApp.exe
[2012.07.28 19:09:25 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- D:\WINDOWS.0\System32\FlashPlayerCPLApp.cpl
[2012.07.28 15:38:52 | 000,726,824 | ---- | M] (Eric Lawrence) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Fiddler2Setup.exe
[2012.07.28 15:36:22 | 000,596,368 | ---- | M] (VirusBlokAda Ltd.) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\F3F4162901.exe
[2012.07.28 15:35:19 | 003,822,594 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\XueTr.zip
[2012.07.27 19:07:37 | 002,139,704 | ---- | M] (Conduit) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\WiseConvert.exe
[2012.07.27 19:06:59 | 000,051,596 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Hazard Busy.ani
[2012.07.27 19:06:50 | 000,064,478 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\AeraBlob Busy.ani
[2012.07.27 19:00:37 | 001,233,001 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\mbam-chameleon-1.61.0.1400.zip
[2012.07.26 19:16:48 | 282,001,408 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\kav_rescue_10.iso
[2012.07.24 15:55:09 | 002,136,664 | ---- | M] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\TDSSKiller.exe
[2012.07.24 15:54:45 | 002,117,108 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Monster.zip
[2012.07.24 15:53:06 | 001,309,375 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\tdsskiller_2.5.5.0.zip
[2012.07.23 19:42:31 | 000,000,512 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\MBR.dat
[2012.07.23 18:55:02 | 000,692,056 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\virustotaldb___virustotal_database_checker___by_heilnizar-d50h71y.zip
[2012.07.22 22:36:42 | 000,000,744 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.07.22 15:56:16 | 000,003,584 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.21 20:22:26 | 000,623,304 | ---- | M] (No company) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\LanmanCheck.exe
[2012.07.21 12:36:30 | 000,000,027 | ---- | M] () -- D:\WINDOWS.0\System32\drivers\etc\hosts
[2012.07.20 23:35:41 | 002,437,120 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Multi_AV.exe
[2012.07.20 23:07:35 | 000,799,032 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Sample.zip
[2012.07.20 22:44:16 | 000,498,937 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Malware.zip
[2012.07.20 19:23:01 | 000,000,607 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\UVK.lnk
[2012.07.19 19:38:46 | 000,823,576 | ---- | M] (Bandoo Media Inc) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\iLividSetupV1.exe
[2012.07.19 19:33:43 | 000,006,502 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Fehlermeldung.gif
[2012.07.19 19:03:11 | 000,041,369 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\123.gif
[2012.07.19 18:59:14 | 000,002,604 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\xyz_Bild.gif
[2012.07.19 15:53:11 | 000,000,668 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk
[2012.07.18 20:15:07 | 000,596,480 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\OTL.exe
[2012.07.17 22:33:49 | 000,621,480 | ---- | M] (Emsi Software GmbH) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\emsiclean.exe
[2012.07.17 21:28:33 | 000,000,706 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Toolbar Uninstaller.lnk
[2012.07.17 21:10:10 | 001,552,384 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\RogueKiller.exe
[2012.07.17 19:10:45 | 000,000,104 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Arbeitsplatz.lnk
[2012.07.16 23:36:26 | 000,216,064 | ---- | M] () -- D:\WINDOWS.0\System32\FNTCACHE.DAT
[2012.07.16 23:32:11 | 000,014,356 | ---- | M] () -- D:\cc_20120716_233201.reg
[2012.07.16 20:05:39 | 001,926,154 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\wsusoffline74.zip
[2012.07.16 19:28:50 | 001,375,784 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\JkDefragGUI_v1.16.zip
[2012.07.15 19:36:45 | 001,558,528 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\BogueKiller.exe
[2012.07.15 19:35:30 | 002,135,640 | ---- | M] (Kaspersky Lab ZAO) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Kilerkiller.exe
[2012.07.14 20:39:31 | 000,000,746 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ThreatExpert Memory Scanner.lnk
[2012.07.12 11:04:04 | 000,000,762 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.10 20:39:27 | 000,411,733 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\PartyPokerSetup.zip
[2012.07.05 19:25:29 | 000,618,655 | ---- | M] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\adwcleaner.exe
[2012.07.03 20:40:54 | 000,000,108 | ---- | M] () -- D:\index.ini
[2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- D:\WINDOWS.0\System32\drivers\mbam.sys
[2012.06.29 20:08:26 | 005,525,640 | ---- | M] (Carifred) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\UVKPortable.exe
[2012.06.29 19:11:45 | 004,566,027 | R--- | M] (Swearware) -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Katze.exe
 
========== Files Created - No Company Name ==========
 
[2012.07.28 15:35:03 | 003,822,594 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\XueTr.zip
[2012.07.27 19:06:59 | 000,051,596 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Hazard Busy.ani
[2012.07.27 19:06:50 | 000,064,478 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\AeraBlob Busy.ani
[2012.07.27 19:00:34 | 001,233,001 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\mbam-chameleon-1.61.0.1400.zip
[2012.07.26 19:15:44 | 282,001,408 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\kav_rescue_10.iso
[2012.07.24 15:54:41 | 002,117,108 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Monster.zip
[2012.07.24 15:53:03 | 001,309,375 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\tdsskiller_2.5.5.0.zip
[2012.07.23 19:42:31 | 000,000,512 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\MBR.dat
[2012.07.23 18:55:00 | 000,692,056 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\virustotaldb___virustotal_database_checker___by_heilnizar-d50h71y.zip
[2012.07.22 22:36:42 | 000,000,744 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.07.22 15:56:16 | 000,003,584 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.20 23:35:34 | 002,437,120 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Multi_AV.exe
[2012.07.20 23:07:33 | 000,799,032 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Sample.zip
[2012.07.20 22:44:15 | 000,498,937 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Malware.zip
[2012.07.19 19:33:43 | 000,006,502 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Fehlermeldung.gif
[2012.07.19 19:03:10 | 000,041,369 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\123.gif
[2012.07.19 18:59:14 | 000,002,604 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\xyz_Bild.gif
[2012.07.19 15:53:11 | 000,000,668 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk
[2012.07.17 21:28:33 | 000,000,706 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Toolbar Uninstaller.lnk
[2012.07.17 21:10:07 | 001,552,384 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\RogueKiller.exe
[2012.07.17 19:10:45 | 000,000,104 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\Arbeitsplatz.lnk
[2012.07.16 23:36:26 | 000,216,064 | ---- | C] () -- D:\WINDOWS.0\System32\FNTCACHE.DAT
[2012.07.16 23:32:09 | 000,014,356 | ---- | C] () -- D:\cc_20120716_233201.reg
[2012.07.16 20:05:35 | 001,926,154 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\wsusoffline74.zip
[2012.07.16 19:47:12 | 000,000,607 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\UVK.lnk
[2012.07.16 19:28:46 | 001,375,784 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\JkDefragGUI_v1.16.zip
[2012.07.15 19:36:40 | 001,558,528 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\BogueKiller.exe
[2012.07.14 20:39:31 | 000,000,746 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ThreatExpert Memory Scanner.lnk
[2012.07.10 20:39:26 | 000,411,733 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\PartyPokerSetup.zip
[2012.07.06 20:45:49 | 000,000,762 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.03 20:40:54 | 000,000,108 | ---- | C] () -- D:\index.ini
[2012.07.03 20:22:58 | 000,256,000 | ---- | C] () -- D:\WINDOWS.0\PEV.exe
[2012.07.03 20:22:58 | 000,208,896 | ---- | C] () -- D:\WINDOWS.0\MBR.exe
[2012.07.03 20:22:58 | 000,098,816 | ---- | C] () -- D:\WINDOWS.0\sed.exe
[2012.07.03 20:22:58 | 000,080,412 | ---- | C] () -- D:\WINDOWS.0\grep.exe
[2012.07.03 20:22:58 | 000,068,096 | ---- | C] () -- D:\WINDOWS.0\zip.exe
[2012.06.30 19:15:45 | 000,618,655 | ---- | C] () -- D:\Dokumente und Einstellungen\XXXXXX\Desktop\adwcleaner.exe
[2012.05.12 21:45:40 | 000,650,752 | ---- | C] () -- D:\WINDOWS.0\System32\xvidcore.dll
[2012.05.12 21:45:40 | 000,243,200 | ---- | C] () -- D:\WINDOWS.0\System32\xvidvfw.dll
[2012.05.07 17:53:18 | 000,102,400 | ---- | C] () -- D:\WINDOWS.0\RegBootClean.exe
[2012.03.10 22:37:37 | 000,000,406 | ---- | C] () -- D:\WINDOWS.0\ODBC.INI
[2012.03.02 20:48:45 | 000,000,313 | ---- | C] () -- D:\WINDOWS.0\BRDIAG.INI
[2012.03.02 20:48:45 | 000,000,141 | ---- | C] () -- D:\WINDOWS.0\BRVIDEO.INI
[2012.03.02 20:48:45 | 000,000,023 | ---- | C] () -- D:\WINDOWS.0\Brownie.ini
[2012.03.02 20:48:39 | 000,077,824 | ---- | C] () -- D:\WINDOWS.0\System32\BROSNMP.DLL
[2012.03.02 20:48:39 | 000,026,624 | ---- | C] () -- D:\WINDOWS.0\System32\BRGSRC32.DLL
[2012.03.02 20:48:39 | 000,004,608 | ---- | C] () -- D:\WINDOWS.0\System32\BRGSRC16.DLL
[2012.03.02 20:48:38 | 000,008,975 | ---- | C] () -- D:\WINDOWS.0\HL-2040.INI
[2012.03.02 20:48:13 | 000,000,416 | ---- | C] () -- D:\WINDOWS.0\BRWMARK.INI
[2012.03.02 20:48:13 | 000,000,034 | ---- | C] () -- D:\WINDOWS.0\System32\BD2040.DAT
[2012.02.19 21:07:53 | 000,003,072 | ---- | C] () -- D:\WINDOWS.0\System32\iacenc.dll
[2012.02.19 13:35:43 | 000,006,550 | ---- | C] () -- D:\WINDOWS.0\jautoexp.dat
[2012.02.18 23:55:52 | 000,002,048 | --S- | C] () -- D:\WINDOWS.0\bootstat.dat
[2012.02.18 23:51:52 | 000,021,740 | ---- | C] () -- D:\WINDOWS.0\System32\emptyregdb.dat
[2012.02.18 23:47:36 | 000,004,249 | ---- | C] () -- D:\WINDOWS.0\ODBCINST.INI
< End of report >

--- --- ---
Hiier das defrogger Log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:46 on 28/07/2012 (Holger)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...

-=E.O.F=-

Mit einem GMER Log wird es nichts, ich hatte GMER 1.0.15.15641 benutzt, es ist ja bekannt das sich das ab und zu mal aufhangen tut, bzw. nicht funktoniert. En Extra.Log von OTL habe ich auch nicht.

Wen weitere Logs gebraucht werden, reiche ich sie zeitnah nach, kein problem.

THN

Nun der Bericht von Malwarebytes`Anti-Malware :

alwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.28.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Holger :: YOUR-W01WIJB9WN [Administrator]
Schutz: Aktiviert
29.07.2012 00:07:19
mbam-log-2012-07-29 (00-07-19).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 246331
Laufzeit: 40 Minute(n), 8 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)

Meine Rechner Uhrzeit hat sich auch verstelltich, vesrstellz --Y wiel Malware im Spiel, der Spiele ist, habe kurz vor 12 Mitternacht, da habe ich gleich 1 Uhr.

Welche Logs soll ich noch bei bringen ?

THN

Vergesst mich Bitte nicht !

THN

cosinus · 30.07.2012, 13:27

Sind das alle Logs von Malwarebytes?

Irgendwelche Hinweise in Logs auf ein Rootkit von früher?

TrojanerHunterNEW · 30.07.2012, 14:47

Ja, die LOG´s von MBAM, sind alle sauber.

THN

cosinus · 30.07.2012, 19:13

Wieso hast du eigentlich schon Combofix ausgeführt?
Du bist doch lange genug hier um zu wissen, dass du nicht auf eigene Faust CF ausführen solltest, es sei denn du weißt du machst

Hast du ESET schon ausgeführt?

TrojanerHunterNEW · 30.07.2012, 19:29

Ja das mit Combofix, wahr unklug von mir.

Ja das mit ESET werde ich mal jetzt anstoßen, mir welchen Parameter Bitte ?

THN

Der ESET scan war auch neagtive, kann kein Log bei bringen, sorry.

Wie geht es weiter ?

THN

cosinus · 30.07.2012, 21:04

Hast du es so ausgeführt?!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

TrojanerHunterNEW · 30.07.2012, 21:19

Leider Nein, aber der scan hat nichts zu Tage gebarcht, 0 Funde.

Soll ich das ganze noch einmal machen, nach deiner Anleitung ?

THN

cosinus · 31.07.2012, 07:45

Ja mach mal bitte

TrojanerHunterNEW · 31.07.2012, 14:39

So, nun das Log, Eser:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5ead7248cb9ba54bbcc2429a621f01f3
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-07-30 07:36:12
# local_time=2012-07-30 09:36:12 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 139 139 0 0
# scanned=64257
# found=0
# cleaned=0
# scan_time=3458
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5ead7248cb9ba54bbcc2429a621f01f3
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-31 01:35:25
# local_time=2012-07-31 03:35:25 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 60804 60804 0 0
# scanned=64701
# found=0
# cleaned=0
# scan_time=7571

THN

cosinus · 31.07.2012, 20:07

Irgendwie hab ich noch keine Anhaltspunkte für Malware

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

TrojanerHunterNEW · 31.07.2012, 23:32

Und nun auch hier das Log:

# AdwCleaner v1.703 - Logfile created 08/01/2012 at 00:18:24
# Updated 20/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : XXXXXXXXXXXXXXXXXXXXXXXX
# Running from : D:\Dokumente und Einstellungen\XXXXXXX\Desktop\adwcleaner.exe
# Option [Delete]

***** [Services] *****

***** [Files / Folders] *****
Folder Deleted : D:\Programme\WiseConvert
***** [Registry] *****
Key Deleted : HKCU\Software\WiseConvert
Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WiseConvert Toolbar
Key Deleted : HKLM\SOFTWARE\WiseConvert
***** [Registre - GUID] *****
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{71B1DF81-18D9-4E5B-9493-CAB02B6E9D8F}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{71B1DF81-18D9-4E5B-9493-CAB02B6E9D8F}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}]
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Registry is clean.
*************************
AdwCleaner[R9].txt - [1977 octets] - [01/08/2012 00:17:46]
AdwCleaner[S6].txt - [1936 octets] - [01/08/2012 00:18:24]
########## EOF - D:\AdwCleaner[S6].txt - [2064 octets] ##########

Ich galube nicht das da jetzt diese Toolbar entefernt worden ist, den ich habe das schon des öfteren versucht diese Toolbars zu entvernen.

Das mit der Systemuhrzeit, habe ich jetzt auch im griff, ich schrieb doch das sie SYStemuhrzeit ca. 1 Stunde vor ging, ich habe sie einfach per Hand richtig gestellt, und jetzt wird die auch wiederum die richtige Zeit angezeigt. Hatte heute eine versuch gemacht mit Emsisoft Anti-Malware, beim ersten Schritt wo das Teil nach Rootkits suchen tuht, bei ca 5 % hangen geblieben, ging nichts mer mit scannen...Und ich habe das gleiche problem wen MBAM, und Emsisoft Anti-Malware bei mir aktive sind, und ich MBAM starten tuhe, wird MBAM einfach ausgeknipst.

Schon komisch das ganze, bei mir.
THN

cosinus · 01.08.2012, 20:17

Dass Malwarebytes ausgeknipps wird, kann muss aber nicht andere Ursachen haben - ich frag nochmal zur Sicherheit: das ist egal ob normaler oder abgesicherter Modus?

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

TrojanerHunterNEW · 01.08.2012, 21:00

Deine Antwort verstehe ich nicht ganz, du meinst ich sollte MBAM neu installieren, dazu müßte ich MBAM halt deinstalieren, und mit dem Cleaner Tool, ganz un gar heru´nterschmeisen, usw.... wilst du das so, also eine Neuinstalation, über einen anderen Weg wo du beschreiben hattest.

Und das mit dem AdwCleaner hat ich doch schon gestern gemacht....

# AdwCleaner v1.800 - Logfile created 08/01/2012 at 22:05:13
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : XXXXXXXXXXXXXXXXXXXXXXXXXXXX
# Running from : D:\Dokumente und Einstellungen\Holger\Desktop\adwcleaner.exe
# Option [Delete]

***** [Services] *****

***** [Files / Folders] *****

***** [Registry] *****

***** [Registre - GUID] *****

***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Registry is clean.
*************************
AdwCleaner[R9].txt - [1977 octets] - [01/08/2012 00:17:46]
AdwCleaner[S6].txt - [2065 octets] - [01/08/2012 00:18:24]
AdwCleaner[R10].txt - [806 octets] - [01/08/2012 22:04:51]
AdwCleaner[S7].txt - [737 octets] - [01/08/2012 22:05:13]
########## EOF - D:\AdwCleaner[S7].txt - [864 octets] ##########

cosinus · 02.08.2012, 14:42

Probier es doch einfach mal aus wie beschrieben bei "Malwarebytes startet nicht"
Oder hast du ein Problem damit?

TrojanerHunterNEW · 02.08.2012, 20:57

Malwarebytes`Anti-Malware startet doch an sich, das ist nicht das problem. Das MBAM wird nur im normalen Modus von Windows XP home ausgeknipst, auch wen Emsisoft Anti-Malware aktive ist. Hm, im abgesicherten Modus leuft eh kein Emsisoft Anti-Malware, so das MBAM auch da einwandfrei funktoniert. Blos findet halt nichts, oder kennt das nicht was es finden sollte

THN

30.07.2012, 13:27	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Ein hartnäckiger Rootkit, und Toolbars nehme ich an Sind das alle Logs von Malwarebytes? Irgendwelche Hinweise in Logs auf ein Rootkit von früher? __________________ __________________

30.07.2012, 19:13	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Ein hartnäckiger Rootkit, und Toolbars nehme ich an Wieso hast du eigentlich schon Combofix ausgeführt? Du bist doch lange genug hier um zu wissen, dass du nicht auf eigene Faust CF ausführen solltest, es sei denn du weißt du machst Hast du ESET schon ausgeführt? __________________ Logfiles bitte immer in CODE-Tags posten

31.07.2012, 07:45	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Ein hartnäckiger Rootkit, und Toolbars nehme ich an Ja mach mal bitte __________________ Logfiles bitte immer in CODE-Tags posten

02.08.2012, 14:42	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Ein hartnäckiger Rootkit, und Toolbars nehme ich an Probier es doch einfach mal aus wie beschrieben bei "Malwarebytes startet nicht" Oder hast du ein Problem damit? __________________ Logfiles bitte immer in CODE-Tags posten

Ein hartnäckiger Rootkit, und Toolbars nehme ich an

Log-Analyse und Auswertung: Ein hartnäckiger Rootkit, und Toolbars nehme ich an