Trojan.Win32.InfoStealer!E1

Björn80 · 10.09.2012, 09:08

Hallo zusammen,
habe mir nun auch "etwas" eingefangen - vermutlich am 04.09., ohne daß ich jedoch sagen kann woher (Spammails werden grundsätzlich ungelesen gelöscht).
Zuerst hat der Rechner nur beim runterfahren Probleme gemacht, aber nun muckt er auch bem hochfahren und speziell das Verbinden mit dem Internet dauert ewig.
Leider habe ich dieses Forum noch nicht gekannt und bin das Problem mit AntiVir und Malwarebytes angegangen. Die haben auch etwas gefunden:

Malwarebytes:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.07.13

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Büro :: BJÖRN [Administrator]

Schutz: Deaktiviert

08.09.2012 00:44:04
mbam-log-2012-09-08 (00-44-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 328602
Laufzeit: 2 Stunde(n), 16 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-302119694-1856492852-3684654165-1006\$97485d9a49a2044c515dcfe0e53809fb\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 10
C:\Downloads\installer_adobe_flash_player_firefox_netscape__opera_10_3_181_22_English.exe (PUP.SmsPay.PGen) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Büro\kowuzpecxaxj.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\5505109.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\Vid-Saver-rs.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\n (RootKit.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{45EA8395-5DDD-44C1-B0B2-9272A6222CA7}\RP908\A0101303.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{45EA8395-5DDD-44C1-B0B2-9272A6222CA7}\RP908\A0101308.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

bzw. AntiVir:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 6. September 2012  14:17

Es wird nach 4169649 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : BJÖRN

Versionsinformationen:
BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00
AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38
LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31
AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24
AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 12:02:57
VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 12:03:01
VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 12:03:01
VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 12:03:01
VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 12:03:01
VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 12:03:01
VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 12:03:01
VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 12:03:01
VBASE014.VDF   : 7.11.42.2       2048 Bytes  06.09.2012 12:03:02
VBASE015.VDF   : 7.11.42.3       2048 Bytes  06.09.2012 12:03:02
VBASE016.VDF   : 7.11.42.4       2048 Bytes  06.09.2012 12:03:02
VBASE017.VDF   : 7.11.42.5       2048 Bytes  06.09.2012 12:03:02
VBASE018.VDF   : 7.11.42.6       2048 Bytes  06.09.2012 12:03:02
VBASE019.VDF   : 7.11.42.7       2048 Bytes  06.09.2012 12:03:03
VBASE020.VDF   : 7.11.42.8       2048 Bytes  06.09.2012 12:03:04
VBASE021.VDF   : 7.11.42.9       2048 Bytes  06.09.2012 12:03:04
VBASE022.VDF   : 7.11.42.10      2048 Bytes  06.09.2012 12:03:04
VBASE023.VDF   : 7.11.42.11      2048 Bytes  06.09.2012 12:03:05
VBASE024.VDF   : 7.11.42.12      2048 Bytes  06.09.2012 12:03:05
VBASE025.VDF   : 7.11.42.13      2048 Bytes  06.09.2012 12:03:05
VBASE026.VDF   : 7.11.42.14      2048 Bytes  06.09.2012 12:03:05
VBASE027.VDF   : 7.11.42.15      2048 Bytes  06.09.2012 12:03:05
VBASE028.VDF   : 7.11.42.16      2048 Bytes  06.09.2012 12:03:06
VBASE029.VDF   : 7.11.42.17      2048 Bytes  06.09.2012 12:03:06
VBASE030.VDF   : 7.11.42.18      2048 Bytes  06.09.2012 12:03:06
VBASE031.VDF   : 7.11.42.20      2048 Bytes  06.09.2012 12:03:06
Engineversion  : 8.2.10.150
AEVDF.DLL      : 8.1.2.10      102772 Bytes  06.09.2012 12:03:19
AESCRIPT.DLL   : 8.1.4.46      455034 Bytes  06.09.2012 12:03:17
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.32      811382 Bytes  06.09.2012 12:03:16
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  06.09.2012 12:03:15
AEHEUR.DLL     : 8.1.4.94     5230967 Bytes  06.09.2012 12:03:15
AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17
AEGEN.DLL      : 8.1.5.36      434549 Bytes  06.09.2012 12:03:09
AEEXP.DLL      : 8.1.0.84       90485 Bytes  06.09.2012 12:03:19
AEEMU.DLL      : 8.1.3.2       393587 Bytes  06.09.2012 12:03:08
AECORE.DLL     : 8.1.27.4      201078 Bytes  06.09.2012 12:03:08
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25
AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23
AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23
AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24
NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41
RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, G:, H:, I:, J:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 6. September 2012  14:17

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'J:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZDWlan.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetPacksUpdateManager.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogWatNT.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'acs.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Büro\kowuzpecxaxj.exe
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Programme\SECURITY TOOLS\Amok\AmoK DelayDel\uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '2449' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ISLAND>
C:\Björns Ordner\MAYNOOTH\DOWNLOADS\K-Meleon1.5.4en-US.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Dokumente und Einstellungen\Büro\kowuzpecxaxj.exe
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\2bbd5e8a-4cee6956
  [0] Archivtyp: ZIP
  --> enva/envd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.38
  --> enva/envc.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.48
  --> enva/envb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.44
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\5505109.exe
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen8
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\j4u2s29926[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\t4o2p30730[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\h4b2u30305[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\j4u2s31828[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP2NSPAB\5645197b4a0df900cb6d4c6a4188b74d[1].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
C:\Downloads\avira_free_antivirus_de_12001167.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Programme\INTERNET TOOLS\K-Meleon\uninstall.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\SECURITY TOOLS\Amok\AmoK DelayDel\uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\SYSTEM TOOLS\Disk Cleaner\uninstall.exe
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
C:\System Volume Information\_restore{45EA8395-5DDD-44C1-B0B2-9272A6222CA7}\RP882\RestorePointSize
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\WINDOWS\system32\drivers\b201d70dc62ab64.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sysaudio.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tape.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tcpip.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tcpip6.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdi.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdpipe.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdtcp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\termdd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tosdvd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tsbvcap.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tunmp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\uagp35.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\udfs.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\update.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usb8023.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usb8023x.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbcamd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbcamd2.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbehci.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbhub.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbintel.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbport.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbprint.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbstor.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbuhci.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbvideo.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\USRPCI.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vchnt5.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vdmindvd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vga.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\viaagp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\VIAAGP1.SYS
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\viaide.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\videoprt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\volsnap.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vtmini.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wacompen.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv07nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv08nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv09nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv11nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wanarp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wanatw4.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\watv06nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\watv10nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wdmaud.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wmilib.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\ws2ifsl.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wstcodec.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\ZD1211BU.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\ZDPSp50.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus\eAV_S.Win\AlertCab.exe
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Tools\eTrust Antivirus\eAV_S.Win\Cpackage.exe
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'G:\' <FINNLAND>
Beginne mit der Suche in 'H:\' <IRLAND>
Beginne mit der Suche in 'I:\' <HELSINKI>
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP2NSPAB\5645197b4a0df900cb6d4c6a4188b74d[1].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548d72ee.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\j4u2s31828[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cdb5d4f.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\h4b2u30305[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e9307a0.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\t4o2p30730[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78b94862.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\j4u2s29926[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3d37655c.qua' verschoben!
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\5505109.exe
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen8
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42e9573e.qua' verschoben!
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\2bbd5e8a-4cee6956
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.44
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0e837ba7.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 6. September 2012  18:58
Benötigte Zeit:  3:48:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12799 Verzeichnisse wurden überprüft
 504617 Dateien wurden geprüft
      9 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
     55 Dateien konnten nicht durchsucht werden
 504553 Dateien ohne Befall
  10550 Archive wurden durchsucht
     64 Warnungen
      7 Hinweise

Jedoch hatte das Löschen der gefundenen Viren keinerlei Auswirkung auf die geschilderten Symptome. Durch googeln nach dem gefundenen Trojaner "Trojan.Phex.THAGen9" bin ich dann auf das Forum gestoßen, habe über das Wochenende die benötigten Programme herutergeladen und hoffe nun das ihr mir helfen könnt.

Hier der OTL.txt:
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 10.09.2012 08:49:02 - Run 3
OTL by OldTimer - Version 3.2.61.2     Folder = C:\Dokumente und Einstellungen\Büro\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
479,48 Mb Total Physical Memory | 205,81 Mb Available Physical Memory | 42,92% Memory free
1,39 Gb Paging File | 1,23 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): D:\pagefile.sys 1024 2048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,27 Gb Total Space | 10,53 Gb Free Space | 28,26% Space Free | Partition Type: NTFS
Drive D: | 32,23 Gb Total Space | 30,28 Gb Free Space | 93,96% Space Free | Partition Type: NTFS
Drive E: | 5,02 Gb Total Space | 2,92 Gb Free Space | 58,06% Space Free | Partition Type: FAT32
Drive F: | 11,05 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive G: | 18,64 Gb Total Space | 18,49 Gb Free Space | 99,20% Space Free | Partition Type: NTFS
Drive H: | 18,63 Gb Total Space | 18,57 Gb Free Space | 99,66% Space Free | Partition Type: NTFS
Drive I: | 9,54 Gb Total Space | 6,66 Gb Free Space | 69,75% Space Free | Partition Type: FAT32
 
Computer Name: BJÖRN | User Name: Büro | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.09.08 11:42:02 | 000,599,552 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Büro\Desktop\OTL.exe
PRC - [2012.07.30 18:01:02 | 003,075,920 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2service.exe
PRC - [2012.07.30 18:00:58 | 003,408,288 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2guard.exe
PRC - [2012.07.18 18:04:33 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.07.18 18:04:23 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.07.18 18:04:22 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
PRC - [2012.01.21 01:21:34 | 000,143,240 | ---- | M] (Ask.com) -- c:\Programme\Avira\AntiVir Desktop\apnstub.exe
PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.08.12 01:38:07 | 000,116,608 | ---- | M] (SUPERAntiSpyware.com) -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASCore.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.09.22 02:36:16 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe
PRC - [2004.07.01 18:23:32 | 000,067,584 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE
PRC - [2002.09.20 16:29:30 | 000,053,248 | ---- | M] (Computer Associates) -- C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
PRC - [2002.08.28 13:43:26 | 000,073,728 | ---- | M] () -- C:\WINDOWS\Dit.exe
PRC - [2002.07.12 10:29:24 | 000,065,536 | ---- | M] () -- C:\WINDOWS\DitExp.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.07.18 18:04:34 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2005.09.22 02:36:16 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe
MOD - [2002.08.28 13:43:26 | 000,073,728 | ---- | M] () -- C:\WINDOWS\Dit.exe
MOD - [2002.07.12 10:29:24 | 000,065,536 | ---- | M] () -- C:\WINDOWS\DitExp.exe
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.09.07 15:23:37 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.09.04 22:48:42 | 000,070,656 | ---- | M] () [Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys -- (b201d70dc62ab64)
SRV - [2012.08.16 10:13:37 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.07.30 18:01:02 | 003,075,920 | ---- | M] (Emsisoft GmbH) [Auto | Start_Pending] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2012.07.18 18:04:33 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.07.18 18:04:23 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Start_Pending] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2011.08.12 01:38:07 | 000,116,608 | ---- | M] (SUPERAntiSpyware.com) [Auto | Running] -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASCore.exe -- (!SASCORE)
SRV - [2008.04.02 16:32:50 | 000,070,336 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe -- (HRService)
SRV - [2005.09.22 02:36:16 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004.04.08 06:01:20 | 001,135,728 | ---- | M] (America Online, Inc.) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe -- (AOL ACS)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2002.09.20 16:41:02 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand | Stopped] -- C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe -- (CA_LIC_SRVR)
SRV - [2002.09.20 16:29:30 | 000,053,248 | ---- | M] (Computer Associates) [Auto | Running] -- C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe -- (LogWatch)
SRV - [2002.09.20 16:27:06 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand | Stopped] -- C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe -- (CA_LIC_CLNT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NETFRITZ.SYS -- (NETFRITZ)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.09.04 22:48:42 | 000,070,656 | ---- | M] () [Unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys -- (b201d70dc62ab64)
DRV - [2012.07.18 18:04:42 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.07.18 18:04:42 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.07.18 18:04:42 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.04.30 18:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2011.07.22 18:27:02 | 000,012,880 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2011.07.12 23:55:22 | 000,067,664 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.05.05 09:40:32 | 000,011,776 | ---- | M] (Emsi Software GmbH) [Kernel | System | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2util32.sys -- (a2util)
DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)
DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2007.05.07 02:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2005.12.23 11:36:08 | 000,469,216 | ---- | M] (USRobotics) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USRPCI.sys -- (USRPCI)
DRV - [2005.12.12 16:08:44 | 001,124,097 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2005.08.17 08:43:20 | 000,330,240 | R--- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ZD1211BU.sys -- (ZD1211BU(ZyDAS)
DRV - [2004.10.25 14:40:58 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - [2004.08.04 06:31:32 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139)
DRV - [2004.07.01 14:49:00 | 000,626,977 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM)
DRV - [2004.04.21 17:51:00 | 000,016,384 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\wlanndi5.sys -- (wlanndi5)
DRV - [2004.02.24 11:08:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2003.12.05 18:46:36 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
DRV - [2003.07.02 04:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\VIAAGP1.SYS -- (viaagp1)
DRV - [2003.01.10 16:13:04 | 000,033,588 | ---- | M] (America Online, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw)
DRV - [2002.08.15 21:30:40 | 000,016,066 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\VNICPKT5.sys -- (VNICPKT5)
DRV - [2001.08.18 05:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm)
DRV - [2001.08.17 14:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)
DRV - [2001.08.17 14:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)
DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2001.08.17 13:11:06 | 000,066,591 | ---- | M] (3Com Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\el90xbc5.sys -- (EL90XBC)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..network.proxy.backup.ftp: "193.239.220.148"
FF - prefs.js..network.proxy.backup.ftp_port: 80
FF - prefs.js..network.proxy.backup.socks: "193.239.220.148"
FF - prefs.js..network.proxy.backup.socks_port: 80
FF - prefs.js..network.proxy.backup.ssl: "193.239.220.148"
FF - prefs.js..network.proxy.backup.ssl_port: 80
FF - prefs.js..network.proxy.ftp: "193.239.220.148"
FF - prefs.js..network.proxy.ftp_port: 80
FF - prefs.js..network.proxy.http: "193.239.220.148"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "193.239.220.148"
FF - prefs.js..network.proxy.socks_port: 80
FF - prefs.js..network.proxy.ssl: "193.239.220.148"
FF - prefs.js..network.proxy.ssl_port: 80
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2027: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2088: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1040: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\OFFICE TOOLS\Adobe\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\K-Meleon\Extensions\\Plugins: C:\Programme\INTERNET TOOLS\K-Meleon\Plugins [2012.08.15 10:19:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\K-Meleon\Extensions\\Components: C:\Programme\INTERNET TOOLS\K-Meleon\Components [2011.08.30 13:07:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Programme\INTERNET TOOLS\Mozilla Firefox\components [2012.09.07 15:23:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Programme\INTERNET TOOLS\Mozilla Firefox\plugins [2012.08.15 10:19:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 15.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.06.25 20:47:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 15.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2011.08.29 11:07:15 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Extensions
[2012.05.05 07:13:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\extensions
[2012.05.05 07:13:20 | 000,020,591 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi
[2012.08.27 16:24:38 | 000,172,310 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012.01.02 14:53:15 | 000,000,933 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\11-suche.xml
[2012.01.02 14:53:16 | 000,002,419 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\englische-ergebnisse.xml
[2012.01.02 14:53:15 | 000,010,525 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\gmx-suche.xml
[2012.01.02 14:53:16 | 000,002,457 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\lastminute.xml
[2012.08.27 16:24:39 | 000,003,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\sweetim.xml
[2012.01.02 14:53:15 | 000,005,508 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\webde-suche.xml
 
O1 HOSTS File: ([2002.08.29 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe ()
O4 - HKLM..\Run: [emsisoft anti-malware] c:\programme\emsisoft anti-malware\a2guard.exe (Emsisoft GmbH)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O15 - HKCU\..Trusted Domains:   ([]msn in Arbeitsplatz)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc.cab (Office Update Installation Engine)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095759281673 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab (IPSUploader Control)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASWINLO.DLL) - C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.09.20 17:41:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.11.23 04:10:28 | 000,000,057 | R--- | M] () - F:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{0643d5be-fe06-11da-ae52-00038a000015}\Shell\Auto\command - "" = G:\AdobeR.exe e
O33 - MountPoints2\{0643d5be-fe06-11da-ae52-00038a000015}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0643d5be-fe06-11da-ae52-00038a000015}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.09.09 18:36:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Emsisoft Anti-Malware
[2012.09.09 18:35:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Eigene Dateien\Anti-Malware
[2012.09.08 11:41:56 | 000,599,552 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Büro\Desktop\OTL.exe
[2012.09.08 11:08:16 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft Anti-Malware
[2012.09.08 10:29:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner
[2012.09.08 09:37:32 | 174,779,744 | ---- | C] (Emsisoft GmbH                                               ) -- C:\Dokumente und Einstellungen\Büro\Desktop\EmsisoftAntiMalwareSetup.exe
[2012.09.08 06:40:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2012.09.08 04:28:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2012.09.07 21:22:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Malwarebytes
[2012.09.07 21:20:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.09.07 21:20:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.09.07 21:20:30 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.09.07 21:20:25 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.09.06 14:08:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Avira
[2012.09.06 13:42:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2012.09.06 13:40:55 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2012.09.06 13:40:46 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012.09.06 13:40:46 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2012.09.06 13:40:45 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2012.09.06 13:40:34 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2012.09.06 13:40:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2012.09.04 22:54:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2012.09.04 22:22:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.09.10 08:47:53 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.09.10 08:46:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.09.10 08:46:16 | 502,845,440 | -HS- | M] () -- C:\hiberfil.sys
[2012.09.10 01:13:03 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.09.10 00:45:52 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.09.09 18:36:19 | 000,000,744 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.09.09 16:58:04 | 001,110,476 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\7z920.exe
[2012.09.09 14:23:15 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\defogger_reenable
[2012.09.08 13:33:09 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\z6btghbi.exe
[2012.09.08 13:08:26 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.09.08 13:02:48 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\Defogger.exe
[2012.09.08 11:42:02 | 000,599,552 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Büro\Desktop\OTL.exe
[2012.09.08 10:34:52 | 000,511,265 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner.exe
[2012.09.08 09:41:18 | 174,779,744 | ---- | M] (Emsisoft GmbH                                               ) -- C:\Dokumente und Einstellungen\Büro\Desktop\EmsisoftAntiMalwareSetup.exe
[2012.09.07 23:57:50 | 000,002,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Haufe Formular-Manager.lnk
[2012.09.07 21:20:53 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.09.07 15:33:22 | 000,001,071 | ---- | M] () -- C:\WINDOWS\nsreg.dat
[2012.09.06 13:42:37 | 000,001,677 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.09.04 22:48:42 | 000,070,656 | ---- | M] () -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys
[2012.08.27 16:24:09 | 026,437,291 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\novicorp wintoflash 0.7.0054 beta.zip
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.09.09 18:36:19 | 000,000,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.09.09 16:58:03 | 001,110,476 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\7z920.exe
[2012.09.09 14:23:15 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\defogger_reenable
[2012.09.08 13:32:58 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\z6btghbi.exe
[2012.09.08 13:02:20 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\Defogger.exe
[2012.09.08 08:19:10 | 000,511,265 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner.exe
[2012.09.07 21:20:53 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.09.07 12:51:56 | 000,330,240 | R--- | C] () -- C:\WINDOWS\System32\drivers\ZD1211BU.sys
[2012.09.06 13:42:36 | 000,001,677 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.09.04 22:48:42 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys
[2012.08.27 16:25:01 | 026,437,291 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\novicorp wintoflash 0.7.0054 beta.zip
[2011.12.19 13:37:07 | 000,000,291 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2011.09.06 19:20:50 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTL8139.sys
[2011.09.01 00:44:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpovwr08.INI
[2011.08.30 12:38:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\sversion.ini
[2011.08.30 12:38:56 | 000,002,048 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\user60.rdb
[2011.08.29 22:04:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Netscape.INI
[2011.08.28 19:21:58 | 000,469,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\USRPCI.sys
[2011.08.27 17:19:10 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\ZyDelReg.exe
[2011.08.27 17:19:10 | 000,017,664 | ---- | C] () -- C:\WINDOWS\System32\drivers\ZDPSp50.sys
[2011.08.27 17:19:08 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll
[2011.08.27 17:19:08 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD64.DLL
[2008.10.28 11:24:19 | 006,984,704 | ---- | C] () -- C:\Programme\Gemeinsame DateienDDBACSDKSetup.msi
[2006.11.06 18:24:34 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2004.12.17 12:06:29 | 000,003,574 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\wklnhst.dat
[2004.11.04 18:12:30 | 000,014,848 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2004.11.04 18:12:30 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== LOP Check ==========
 
[2006.12.15 16:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
[2011.08.29 11:47:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2006.12.15 15:57:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2011.09.06 10:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2011.08.28 22:53:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2007.06.29 18:32:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2011.08.30 17:36:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2011.08.30 17:33:17 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2006.12.06 11:51:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\.contentlauncher
[2006.12.06 11:51:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\contentlauncher
[2007.09.21 14:28:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\DataDesign
[2011.08.29 11:48:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\elsterformular
[2010.05.30 12:16:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\FreeFileSync
[2011.09.06 10:31:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\FRITZ!
[2011.09.06 10:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\FRITZ!fax für FRITZ!Box
[2007.04.05 09:01:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Haufe
[2011.08.28 22:46:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\K-Meleon
[2006.12.15 16:09:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Lexware
[2012.06.29 11:09:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Oracle
[2009.09.16 17:26:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\TeamViewer
[2004.12.17 12:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Template
[2012.05.05 07:10:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird
[2011.08.30 17:34:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\TuneUp Software
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner.exe:SummaryInformation

< End of report >

--- --- ---

Habe gestern auch noch einen Scan mit Emsisoft Anti-Malware gemacht, der den oben genannten Trojaner gefunden hat.

Code:

ATTFilter

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 09.09.2012 19:35:47

Scan Einstellungen:

Scan Methode: Smart Scan
Objekte: Rootkits, Speicher, Traces, C:\WINDOWS\, C:\Programme\
Archiv Scan: Aus
ADS Scan: An

Scan Beginn:	09.09.2012 19:44:35

C:\WINDOWS\system32\fldrv090.ocx 	gefunden: Trojan.Win32.InfoStealer!E1
C:\Programme\SYSTEM TOOLS\RegCleaner\Backups\powerreg scheduler v3.exe 	gefunden: Program.Win32.PowerRegScheduler.AMN!E1
C:\Programme\SECURITY TOOLS\PantsOff\PantsOffHk.dll 	gefunden: Riskware.PSWTool.Win32.Finder.d!E1

Gescannt	571684
Gefunden	3

Scan Ende:	10.09.2012 01:18:59
Scan Zeit:	5:34:24

C:\WINDOWS\system32\fldrv090.ocx	Quarantäne Trojan.Win32.InfoStealer!E1

Quarantäne	1

Hoffe der Beitrag ist nicht bereits jetzt zu lang und unübersichtlich und es findet sich jemand mir helfen kann das Problem zu lösen. Vielen Dank.

markusg · 10.09.2012, 10:42

hi
wenn du den pc für onlinebanking nutzt rufe die bank an, lasse es auf grund von zero access rootkit befall sperren.
da man dieses rootkit nicht mit 100 %iger sicherheit los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Björn80 · 10.09.2012, 11:41

Hallo,
und Danke für die schnelle Antwort.

Onlinebanking habe ich erstmal sperren lassen.

Und da ich ab heute nachmittag für 3 Tage nicht in der Stadt bin kann ich mich um den Rest erst ab Donnerstag kümmern.

Hatte jedoch ehrlich gesagt auf eine positivere Antwort gehofft, denn ich muß gestehen ich bin ein ziemlicher Computeranalphabet und fürchte das beschriebene Prozedere übersteigt doch bereits deutlich meine Fähigkeiten/Kenntnisse.
Zusätzliches Problem ist, daß ich den Rechner second hand von einer Freundin übernommen habe und somit keine Installations CD unmittelbar greifbar habe.

So weit so gut, falls nicht doch noch jemand mit der brillianten Universallösung aufwarten kann, muß ich mich dann doch wohl oder übel an die komplette Neuinstallation machen.
Wie bereits gesagt vielen Dank für die Antwort und bitte weiter posten falls Euch noch etwas dazu einfällt.

markusg · 10.09.2012, 11:46

hi
versuchs doch erst mal so weit wie du kommst, fragen kannst du stellen, formatiert wird auf jeden fall.

Björn80 · 10.09.2012, 11:55

Alles klar,
wie gesagt, ab Donnerstag kann ich mich dranmachen und wenn's Probleme gibt (gibt's sicher) werde ich melden. Danke nochmal.

markusg · 10.09.2012, 12:11

gut gut, falls ichs übersehe, kurze private nachicht an mich

10.09.2012, 12:11	#6
markusg /// Malware-holic	Trojan.Win32.InfoStealer!E1 gut gut, falls ichs übersehe, kurze private nachicht an mich __________________ --> Trojan.Win32.InfoStealer!E1

Trojan.Win32.InfoStealer!E1

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.InfoStealer!E1