Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
runcft.ink im Autostart

runcft.ink im Autostart


Plagegeister aller Art und deren Bekämpfung: runcft.ink im Autostart

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 17.02.2013, 17:55   #1
Brain2401
 
runcft.ink im Autostart - Beitrag

runcft.ink im Autostart


Guten Abend!

Vor einiger Zeit(ca 3 monate) hat sich meine Familie am Rechner den BKA ("Polizei-Virus") eingefangen. Ich habe dank eures Forums diesen dann auch soweit entfernt, dass man wieder arbeiten konnte.

Als jetzt wieder ein Problem beim Rechner auftrat, habe ich nochmal ein wenig gesucht, und festgestellt, dass im Autostart eine runcft.ink läuft. Ich kann diese aber auf normalem Weg nicht entfernen.

Ich habe mich an die Hinweise bei euch im Forum gehalten, und mit Malwarebytes, OTl und GMER Log-Files erstellt.

Zusatzinfo: dieser Rechner wird vorwiegend von etwas älteren und unerfahrenen Benutzern betrieben, die sich wenig auskennen, und sich erst dann melden, wenn einfach gar nichts mehr geht. Fehlermeldungen wegklicken und ähnliches....

Ich hoffe ihr könnt mir weiterhelfen, und Danke im Voraus
Brain2401


Malwarebytes-Log:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.17.02

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Gabi :: GABRIELE [Administrator]

17.02.2013 12:00:35
mbam-log-2013-02-17 (12-00-35).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225573
Laufzeit: 22 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 16
HKCR\CLSID\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrd.AIEbho.1 (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrd.AIEbho (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{20C28584-8F10-4D92-987C-0A1008E2435A} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Daten: C:\Recycle.Bin\Recycle.Bin.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|csrcs (Trojan.Agent) -> Daten: C:\WINDOWS\system32\csrcs.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 8
C:\RECYCLER\S-1-5-21-823518204-926492609-839522115-1003\Dc3.vir (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Gabi\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
OTL-Log:
Code:
ATTFilter
OTL logfile created on: 17.02.2013 12:44:40 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Gabi\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
1023,30 Mb Total Physical Memory | 524,80 Mb Available Physical Memory | 51,29% Memory free
2,40 Gb Paging File | 1,96 Gb Available in Paging File | 81,46% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 16,07 Gb Free Space | 32,92% Space Free | Partition Type: NTFS
Drive D: | 100,22 Gb Total Space | 30,58 Gb Free Space | 30,51% Space Free | Partition Type: NTFS
Drive I: | 0,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 1,88 Gb Total Space | 1,28 Gb Free Space | 67,98% Space Free | Partition Type: FAT
 
Computer Name: GABRIELE | User Name: Gabi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.17 11:42:14 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Gabi\Desktop\OTL.exe
PRC - [2012.10.19 16:14:08 | 000,160,944 | R--- | M] (Skype Technologies) -- C:\Programme\Skype\Updater\Updater.exe
PRC - [2012.10.09 09:53:36 | 004,441,920 | ---- | M] (Akamai Technologies, Inc.) -- C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe
PRC - [2012.10.02 12:13:44 | 003,064,000 | ---- | M] (Skype Technologies S.A.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe
PRC - [2012.09.17 12:41:54 | 000,254,896 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.02.03 11:40:20 | 000,394,984 | ---- | M] (tzuk) -- C:\Programme\Sandboxie\SbieCtrl.exe
PRC - [2010.02.03 11:40:16 | 000,073,960 | ---- | M] (tzuk) -- C:\Programme\Sandboxie\SbieSvc.exe
PRC - [2009.12.03 10:12:12 | 000,976,320 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Programme\Epson Software\Event Manager\EEventManager.exe
PRC - [2009.10.07 16:32:10 | 000,323,392 | ---- | M] (BitTorrent, Inc.) -- C:\Programme\DNA\btdna.exe
PRC - [2009.09.14 08:00:00 | 000,200,704 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIGCE.EXE
PRC - [2009.05.27 19:47:24 | 000,208,624 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe
PRC - [2009.05.14 17:07:14 | 000,759,048 | ---- | M] (ABBYY) -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
PRC - [2008.10.25 12:59:47 | 000,068,865 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
PRC - [2008.10.25 12:59:43 | 000,151,297 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
PRC - [2008.07.19 16:30:35 | 000,266,497 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
PRC - [2008.07.07 08:34:59 | 000,167,936 | ---- | M] (PowerISO Computing, Inc.) -- C:\Programme\PowerISO\PWRISOVM.EXE
PRC - [2008.05.27 11:27:24 | 000,547,840 | ---- | M] (MagicISO, Inc.) -- C:\Programme\MagicDisc\MagicDisc.exe
PRC - [2008.01.04 13:27:08 | 000,587,096 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
PRC - [2006.12.19 18:23:20 | 000,094,208 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe
PRC - [2006.06.29 09:12:46 | 000,131,131 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
PRC - [2006.06.29 09:12:30 | 000,065,599 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
PRC - [2006.04.13 16:14:26 | 000,020,543 | ---- | M] (Apache Software Foundation) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
PRC - [2005.01.06 05:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2001.07.03 09:17:04 | 000,065,536 | ---- | M] () -- C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
PRC - [2001.07.03 09:11:52 | 000,057,344 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2008.04.21 14:57:14 | 000,339,968 | ---- | M] () -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sqlite3.dll
MOD - [2007.12.27 11:13:16 | 000,525,664 | ---- | M] () -- C:\Programme\Lavasoft\Ad-Aware 2007\Update.dll
MOD - [2006.04.13 16:14:26 | 000,876,544 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\libeay32.dll
MOD - [2006.04.13 16:14:26 | 000,159,744 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\ssleay32.dll
MOD - [2006.04.13 16:14:26 | 000,024,691 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\modules\mod_auth.so
MOD - [2001.07.03 09:17:06 | 000,024,576 | ---- | M] () -- C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnfps.dll
MOD - [2001.07.03 09:17:04 | 000,065,536 | ---- | M] () -- C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\DOKUME~1\Gabi\wgsdgsdgdsgsd.exe -- (winmgmt)
SRV - File not found [On_Demand | Stopped] -- D:\SiSoftware Sandra Lite 2010c\RpcAgentSrv.exe -- (SandraAgentSrv)
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2012.11.12 19:08:26 | 004,539,712 | ---- | M] () [Auto | Running] -- c:\programme\gemeinsame dateien\akamai/netsession_win_ce5ba24.dll -- (Akamai)
SRV - [2012.10.19 16:14:08 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.10.02 12:13:44 | 003,064,000 | ---- | M] (Skype Technologies S.A.) [Auto | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)
SRV - [2010.02.03 11:40:16 | 000,073,960 | ---- | M] (tzuk) [Auto | Running] -- C:\Programme\Sandboxie\SbieSvc.exe -- (SbieSvc)
SRV - [2009.06.12 16:35:36 | 000,072,704 | ---- | M] (SolidWorks) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe -- (SolidWorks Licensing Service)
SRV - [2009.06.02 09:10:08 | 000,637,952 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2009.05.14 17:07:14 | 000,759,048 | ---- | M] (ABBYY) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Sprint.9.0)
SRV - [2008.10.25 12:59:47 | 000,068,865 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler)
SRV - [2008.10.25 12:59:43 | 000,151,297 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService)
SRV - [2008.01.04 13:27:08 | 000,587,096 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe -- (aawservice)
SRV - [2006.12.19 18:23:20 | 000,094,208 | ---- | M] (SEIKO EPSON CORPORATION) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe -- (EpsonBidirectionalService)
SRV - [2006.06.29 09:12:46 | 000,131,131 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe -- (nSvcIp)
SRV - [2006.06.29 09:12:30 | 000,065,599 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe -- (nSvcLog)
SRV - [2006.04.13 16:14:26 | 000,020,543 | ---- | M] (Apache Software Foundation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe -- (ForcewareWebInterface)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\SiSoftware Sandra Lite 2010c\WNt500x86\Sandra.sys -- (SANDRA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2010.02.03 11:40:08 | 000,115,432 | ---- | M] (tzuk) [Kernel | On_Demand | Running] -- C:\Programme\Sandboxie\SbieDrv.sys -- (SbieDrv)
DRV - [2009.05.27 19:47:55 | 000,075,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.05.27 19:47:26 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt)
DRV - [2009.05.27 19:47:17 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys -- (avgio)
DRV - [2009.02.09 07:37:56 | 000,007,808 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2009.02.09 07:37:48 | 000,007,808 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2009.02.09 07:37:46 | 000,022,016 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2009.02.09 07:37:46 | 000,017,664 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2008.08.26 09:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.07.07 08:40:49 | 000,056,108 | ---- | M] (PowerISO Computing, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\scdemu.sys -- (SCDEmu)
DRV - [2008.05.27 11:11:54 | 000,096,896 | ---- | M] (MagicISO, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mcdbus.sys -- (mcdbus)
DRV - [2008.04.21 14:57:14 | 000,021,248 | ---- | M] (AVIRA GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.02.22 12:03:03 | 000,716,272 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008.02.14 19:56:38 | 000,025,280 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2007.03.01 16:27:00 | 004,484,608 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2006.06.29 10:04:54 | 000,020,480 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.06.29 10:04:50 | 000,057,856 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005.10.10 09:07:38 | 000,393,088 | R--- | M] (Sensaura) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2005.03.09 15:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005.01.07 16:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.11.05 10:08:06 | 000,670,208 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2004.08.13 03:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Bar = hxxp://google.icq.com/search/search_frame.php
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://search.aon.at
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.aon.at
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aon.at
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = :
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "www.facebook.com"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA}:6.0.39
FF - prefs.js..extensions.enabledItems: {9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}:1.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@bittorrent.com/BitTorrentDNA: C:\Programme\DNA\plugins\npbtdna.dll (BitTorrent, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_39: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\01001.085 [2012.08.09 16:53:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.02.09 15:17:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.02.09 15:17:29 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\01001.085 [2012.08.09 16:53:02 | 000,000,000 | ---D | M]
 
[2008.12.14 10:35:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Extensions
[2013.02.16 17:42:53 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\extensions
[2012.05.12 14:48:14 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\searchplugins\icqplugin-1.xml
[2008.04.19 10:34:39 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\searchplugins\icqplugin-2.xml
[2008.07.03 18:00:46 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\searchplugins\icqplugin-3.xml
[2008.07.17 17:55:30 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\searchplugins\icqplugin-4.xml
[2008.09.27 12:32:11 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\searchplugins\icqplugin-5.xml
[2008.11.16 10:50:23 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\searchplugins\icqplugin-6.xml
[2008.03.24 21:59:53 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\searchplugins\icqplugin.xml
[2013.02.16 17:42:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.02.04 21:01:55 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA}
[2013.02.04 21:01:42 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2012.08.09 16:53:02 | 000,000,000 | ---D | M] (Java Link Helper) -- C:\WINDOWS\SYSTEM32\01001.085
[2013.02.09 15:17:24 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2013.02.09 15:17:24 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2013.02.09 15:17:24 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.02.09 15:17:24 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.02.09 15:17:24 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.97\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.97\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.97\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll
CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\np-mswmp.dll
CHR - plugin: DivX Web Player (Enabled) = C:\Programme\Mozilla Firefox\plugins\npdivx32.dll
CHR - plugin: DivX Player Netscape Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll
CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL
CHR - plugin: DNA Plug-in (Enabled) = C:\Programme\DNA\plugins\npbtdna.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\WINDOWS\system32\Adobe\Director\np32dsw.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: Skype Click to Call = C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\6.3.0.11079_0\
 
O1 HOSTS File: ([2005.01.06 05:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Adobe PDF Reader Link Helper) - {8BBE6A70-EF84-47FA-B5DE-EDD0DF18461F} - C:\WINDOWS\system32\AcroIEHelpe187.dll File not found
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (no name) - {9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} - No CLSID value found.
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE (PowerISO Computing, Inc.)
O4 - HKLM..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Akamai NetSession Interface] C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe (Akamai Technologies, Inc.)
O4 - HKCU..\Run: [BitTorrent DNA] C:\Programme\DNA\btdna.exe (BitTorrent, Inc.)
O4 - HKCU..\Run: [Epson Stylus SX420W(Netzwerk)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE (SEIKO EPSON CORPORATION)
O4 - HKCU..\Run: [Makro] "C:\Dokumente und Einstellungen\Gabi\Desktop\Makro\Makro.exe" File not found
O4 - HKCU..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background File not found
O4 - HKCU..\Run: [SandboxieControl] C:\Programme\Sandboxie\SbieCtrl.exe (tzuk)
O4 - Startup: C:\Dokumente und Einstellungen\Gabi\Startmenü\Programme\Autostart\MagicDisc.lnk = C:\Programme\MagicDisc\MagicDisc.exe (MagicISO, Inc.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3215134A-C241-4C03-84A8-6FC8D9F26C45}: DhcpNameServer = 10.0.0.138
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.13 16:55:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.04.01 16:32:46 | 000,004,836 | R--- | M] () - I:\autorun.dat -- [ CDFS ]
O32 - AutoRun File - [2010.04.01 16:32:46 | 000,266,752 | R--- | M] (RJL Software, Inc.) - I:\autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2010.04.01 16:32:46 | 000,000,049 | R--- | M] () - I:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{ad5eb5ce-f88c-11de-be66-001bfcba366c}\Shell - "" = AutoRun
O33 - MountPoints2\{ad5eb5ce-f88c-11de-be66-001bfcba366c}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ad5eb5ce-f88c-11de-be66-001bfcba366c}\Shell\AutoRun\command - "" = I:\autorunner.exe "Film Kagerer~1.wmv"
O33 - MountPoints2\{ad5eb5cf-f88c-11de-be66-001bfcba366c}\Shell\AutoRun\command - "" = J:\rbohle.exe
O33 - MountPoints2\{ad5eb5cf-f88c-11de-be66-001bfcba366c}\Shell\explore\Command - "" = J:\rbohle.exe
O33 - MountPoints2\{ad5eb5cf-f88c-11de-be66-001bfcba366c}\Shell\open\Command - "" = J:\rbohle.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.17 12:41:25 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Gabi\Recent
[2013.02.17 11:58:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Malwarebytes
[2013.02.17 11:58:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.02.17 11:58:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.02.17 11:58:09 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.02.17 11:58:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.02.17 11:57:51 | 010,156,344 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Gabi\Desktop\mbam-setup-1.70.0.1100.exe
[2013.02.17 11:57:51 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Gabi\Desktop\OTL.exe
[2013.02.04 21:02:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2013.02.01 19:13:32 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2009.06.12 16:42:04 | 005,189,678 | ---- | C] (SolidWorks Corporation) -- C:\Programme\sldappu.dll
[6 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.17 12:42:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.02.17 12:41:14 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\Desktop\Defogger.exe
[2013.02.17 12:41:14 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Gabi\defogger_reenable
[2013.02.17 11:58:12 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.17 11:46:50 | 010,156,344 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Gabi\Desktop\mbam-setup-1.70.0.1100.exe
[2013.02.17 11:42:14 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Gabi\Desktop\OTL.exe
[2013.02.15 15:37:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.02.01 15:54:54 | 000,002,933 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
[2013.02.01 15:38:12 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[6 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.17 12:41:07 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Gabi\defogger_reenable
[2013.02.17 12:40:29 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Gabi\Desktop\Defogger.exe
[2013.02.17 11:58:11 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.31 15:46:58 | 000,002,933 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
[2012.11.20 18:28:44 | 000,200,070 | ---- | C] () -- C:\Dokumente und Einstellungen\Gabi\vsb_85801_15_85801_00444_20112012145321_signed.pdf
[2012.06.26 16:32:27 | 000,000,107 | ---- | C] () -- C:\WINDOWS\System32\urhtps.dat
[2010.03.21 19:28:17 | 000,002,272 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.03.09 16:20:04 | 012,427,264 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sandra.mda
[2008.03.23 20:12:28 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\PnkBstrK.sys
[2008.02.13 20:42:54 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
[2008.02.13 19:11:07 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
 
========== ZeroAccess Check ==========
 
[2009.06.12 16:02:03 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2009.01.07 17:20:26 | 001,497,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2005.01.06 05:00:00 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2005.01.06 05:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2008.02.17 15:17:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
[2012.05.18 17:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2009.07.08 17:52:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2008.02.13 19:01:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\m2backup
[2008.02.13 19:01:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at
[2009.06.20 10:47:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
[2009.07.08 18:20:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2012.04.15 16:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PhotoGenie
[2013.02.16 17:51:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2012.12.16 13:56:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2008.02.13 18:58:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D6B1976C-D59B-4881-8378-7F29FE0A2822}
[2008.02.13 18:58:32 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E8A874E7-129E-4647-B8C1-46227F252D4F}
[2011.03.11 16:48:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\872011
[2010.03.13 14:45:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Azureus
[2010.07.23 20:23:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\bitmedia
[2010.07.23 20:23:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\contentlauncher
[2008.02.22 12:03:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\DAEMON Tools
[2013.02.17 12:53:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\DNA
[2009.06.12 16:35:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\DWGeditor
[2010.05.30 07:59:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Easy Macro Recorder
[2008.02.17 12:24:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Ebner
[2011.03.06 19:29:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Epson
[2010.06.03 15:19:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\FOG Downloader
[2012.04.15 15:08:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Hartlauer Foto Service 3
[2008.08.04 12:50:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\ICQ
[2008.11.26 19:16:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Leadertech
[2010.03.07 09:26:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Mathsoft
[2008.02.13 19:01:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\mquadr.at
[2008.02.13 20:13:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\MSNInstaller
[2009.07.08 18:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Nokia
[2010.12.04 18:26:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Ordner HP Share-to-Web
[2009.07.08 18:24:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\PC Suite
[2008.09.16 20:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Soldat
[2010.04.14 14:18:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\TS3Client
 
========== Purity Check ==========
 
 

< End of report >
OTL-"Extras"-log:
Code:
ATTFilter
OTL Extras logfile created on: 17.02.2013 12:44:40 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Gabi\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
1023,30 Mb Total Physical Memory | 524,80 Mb Available Physical Memory | 51,29% Memory free
2,40 Gb Paging File | 1,96 Gb Available in Paging File | 81,46% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 16,07 Gb Free Space | 32,92% Space Free | Partition Type: NTFS
Drive D: | 100,22 Gb Total Space | 30,58 Gb Free Space | 30,51% Space Free | Partition Type: NTFS
Drive I: | 0,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 1,88 Gb Total Space | 1,28 Gb Free Space | 67,98% Space Free | Partition Type: FAT
 
Computer Name: GABRIELE | User Name: Gabi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Hartlauer Foto World] -- "D:\Hartlauer Foto World\Hartlauer Foto World.exe" "%1" ()
Directory [Hartlauer Fotoviewer] -- "D:\Hartlauer Foto World\Hartlauer Fotoviewer.exe" -d "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
"C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe" = C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Programme\aon\aonController\aonController.exe" = C:\Programme\aon\aonController\aonController.exe:*:Enabled:aonController -- (mquadr.at software engineering and consulting GmbH, web: www.mquadr.at, mail: office@mquadr.at)
"C:\Programme\aon\aonInstaller\aonInstaller.exe" = C:\Programme\aon\aonInstaller\aonInstaller.exe:*:Enabled:aonInstaller -- (mquadr.at software engineering & consulting GmbH - Web: hxxp://www.mquadr.at - Mail: office@mquadr.at)
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
"C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
"D:\Command & Conquer Generals Zero Hour\game.dat" = D:\Command & Conquer Generals Zero Hour\game.dat:*:Enabled:game
"C:\Programme\Messenger\msmsgs.exe" = C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger -- (Microsoft Corporation)
"C:\WINDOWS\system32\PnkBstrA.exe" = C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- ()
"C:\WINDOWS\system32\PnkBstrB.exe" = C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- ()
"C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\RpcSandraSrv.exe" = C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service
"D:\Moorhuhn Kart 3\Game\Moorhuhn_Kart3.exe" = D:\Moorhuhn Kart 3\Game\Moorhuhn_Kart3.exe:*:Enabled:Moorhuhn_Kart3
"D:\Battlefield 2\BF2.exe" = D:\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2
"C:\Programme\DNA\btdna.exe" = C:\Programme\DNA\btdna.exe:*:Enabled:DNA -- (BitTorrent, Inc.)
"D:\SiSoftware Sandra Lite 2010c\RpcAgentSrv.exe" = D:\SiSoftware Sandra Lite 2010c\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service
"D:\SiSoftware Sandra Lite 2010c\WNt500x86\sandra.07.mui" = D:\SiSoftware Sandra Lite 2010c\WNt500x86\sandra.07.mui:*:Enabled:SiSoftware Sandra Agent Service
"D:\SiSoftware Sandra Lite 2010c\WNt500x86\RpcSandraSrv.exe" = D:\SiSoftware Sandra Lite 2010c\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" = C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe:*:Enabled:Akamai NetSession Interface -- (Akamai Technologies, Inc.)
"C:\Programme\Epson Software\Event Manager\EEventManager.exe" = C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Disabled:EEventManager Application -- (SEIKO EPSON CORPORATION)
"C:\Programme\EpsonNet\EpsonNet Setup\tool10\ENEasyApp.exe" = C:\Programme\EpsonNet\EpsonNet Setup\tool10\ENEasyApp.exe:*:Enabled:EpsonNet Setup -- (SEIKO EPSON CORPORATION)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath  -- (Skype Technologies S.A.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{03B8AA32-F23C-4178-B8E6-09ECD07EAA47}" = Epson Event Manager
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{0C973594-7DDF-4BD0-84ED-3517F7622037}" = PC Connectivity Solution
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1ED31028-6D65-4CFD-AD03-8E484A052FE7}" = aonUpdate
"{1F6423DE-7959-4178-80E0-023C7EAA5347}" = NVIDIA ForceWare Network Access Manager
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{26A24AE4-039D-4CA4-87B4-2F83216039FF}" = Java(TM) 6 Update 39
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39F58DDB-B2B8-4B86-AF20-4706A80EB30D}" = Epson Easy Photo Print 2
"{3E31400D-274E-4647-916C-2CACC3741799}" = EpsonNet Print
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6B36DEBF-27D0-4B1E-858D-D397091C6C7D}" = HP Precisionscan Pro 3.1
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{748F4870-8350-11D3-B0BF-080009FB4A19}" = HP Share-to-Web
"{75FEB085-179F-4C85-B0E4-B517D2160750}" = eDrawings 2007
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{904B64C4-49D8-4941-A2B6-D13D06C5CD8B}" = aonController
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}" = AGEIA PhysX v7.11.13
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2D55EB8-32C5-4B43-9006-9E97DECBA178}" = Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser)
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2296}_is1" = SiSoftware Sandra Lite 2010c
"{C9D8A041-2963-4B31-8FFC-1500F3DB9293}" = EpsonNet Setup 3.2
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware 2007
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F9000000-0018-0000-0000-074957833700}" = ABBYY FineReader 9.0 Sprint
"{F916C6DF-2601-4385-9500-C45FF398D4CB}" = Install(GE)
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"ABBYY FineReader 9.0 Sprint" = ABBYY FineReader 9.0 Sprint
"Adobe Acrobat 4.0" = Adobe Acrobat 4.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Akamai" = Akamai NetSession Interface Service
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"aonController" = aonController
"aonUpdate" = aonUpdate
"Azureus" = Azureus
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"EPSON Scanner" = EPSON Scan
"EPSON SX420W Series" = EPSON SX420W Series Printer Uninstall
"EPSON SX420W Series Manual" = EPSON SX420W Series Handbuch
"EPSON SX420W Series Network Guide" = EPSON SX420W Series Netzwerk-Handbuch
"Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.1
"GameSpy Arcade" = GameSpy Arcade
"Google Chrome" = Google Chrome
"Hamachi" = Hamachi 1.0.3.0
"HappyFoto-Designer_is1" = HappyFoto-Designer 4.4
"Hartlauer Foto World" = Hartlauer Foto World
"ie8" = Windows Internet Explorer 8
"InstallShield_{1F6423DE-7959-4178-80E0-023C7EAA5347}" = NVIDIA ForceWare Network Access Manager
"InstallShield_{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
"InstallShield_{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"IsoBuster_is1" = IsoBuster 2.7
"MagicDisc 2.7.97" = MagicDisc 2.7.97
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"NVIDIA Drivers" = NVIDIA Drivers
"OneStopSoft Youtube Video File Downloader Trial Version_is1" = OneStopSoft Youtube Video File Downloader 1.0.0.8
"OpenAL" = OpenAL
"PowerISO" = PowerISO
"QuickTime" = QuickTime
"Sandboxie" = Sandboxie 3.44
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VideoLAN VLC media player 0.8.6i
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinRAR archiver" = WinRAR
"Xbox_360_CC_Driver" = Xbox 360 Controller for Windows
"xp-AntiSpy" = xp-AntiSpy 3.96-7
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Akamai" = Akamai NetSession Interface
"BitTorrent DNA" = DNA
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 22.01.2013 10:22:39 | Computer Name = GABRIELE | Source = MsiInstaller | ID = 11609
Description = 
 
Error - 22.01.2013 11:30:05 | Computer Name = GABRIELE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul mshtml.dll, Version 8.0.6001.18702, Fehleradresse 0x0009da70.
 
Error - 22.01.2013 11:30:20 | Computer Name = GABRIELE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul mshtml.dll, Version 8.0.6001.18702, Fehleradresse 0x0009da70.
 
Error - 29.01.2013 11:00:54 | Computer Name = GABRIELE | Source = MsiInstaller | ID = 11609
Description = 
 
Error - 31.01.2013 11:05:22 | Computer Name = GABRIELE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul skypeieplugin.dll, Version 6.3.0.11079, Fehleradresse 0x000d9da0.
 
Error - 06.02.2013 09:29:45 | Computer Name = GABRIELE | Source = MsiInstaller | ID = 11609
Description = 
 
Error - 08.02.2013 10:50:30 | Computer Name = GABRIELE | Source = SecurityCenter | ID = 1802
Description = Das Windows-Sicherheitscenter konnte keine Ereignisabfragen mit der
 WMI herstellen, um Antivirus- und Firewallprogramme von Drittanbietern zu überwachen.
 
Error - 11.02.2013 11:59:22 | Computer Name = GABRIELE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul mshtml.dll, Version 8.0.6001.18702, Fehleradresse 0x000b95c9.
 
Error - 11.02.2013 11:59:43 | Computer Name = GABRIELE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul mshtml.dll, Version 8.0.6001.18702, Fehleradresse 0x000b95c9.
 
Error - 13.02.2013 12:30:46 | Computer Name = GABRIELE | Source = MsiInstaller | ID = 11609
Description = 
 
[ System Events ]
Error - 17.02.2013 07:54:02 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:54:32 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:55:02 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:55:32 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:56:02 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:56:32 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:57:02 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:57:32 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:58:02 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 17.02.2013 07:58:32 | Computer Name = GABRIELE | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
 
< End of report >
Gmer-log:
Code:
ATTFilter
GMER 2.1.18952 - hxxp://www.gmer.net
Rootkit scan 2013-02-17 17:29:54
Windows 5.1.2600 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-10 SAMSUNG_HD160JJ rev.WU100-41 0,00MB
Running: GMER_2.1.18952.exe; Driver: C:\DOKUME~1\Gabi\LOKALE~1\Temp\pwtcqpob.sys


---- System - GMER 2.1 ----

SSDT                                                                                                                                  F7B260CC                                                                                                             ZwCreateThread
SSDT                                                                                                                                  F7B260B8                                                                                                             ZwOpenProcess
SSDT                                                                                                                                  F7B260BD                                                                                                             ZwOpenThread
SSDT                                                                                                                                  F7B260C7                                                                                                             ZwTerminateProcess
SSDT                                                                                                                                  F7B260C2                                                                                                             ZwWriteVirtualMemory

Code                                                                                                                                  85C41CEC                                                                                                             ZwRequestPort
Code                                                                                                                                  85C41D8C                                                                                                             ZwRequestWaitReplyPort
Code                                                                                                                                  85C41C4C                                                                                                             ZwTraceEvent
Code                                                                                                                                  85C41CEB                                                                                                             NtRequestPort
Code                                                                                                                                  85C41D8B                                                                                                             NtRequestWaitReplyPort
Code                                                                                                                                  85C41C4B                                                                                                             NtTraceEvent

---- Kernel code sections - GMER 2.1 ----

.text                                                                                                                                 ntkrnlpa.exe!NtTraceEvent                                                                                            805309E4 5 Bytes  JMP 85C41C50 
PAGE                                                                                                                                  ntkrnlpa.exe!NtRequestPort                                                                                           805968B4 5 Bytes  JMP 85C41CF0 
PAGE                                                                                                                                  ntkrnlpa.exe!NtRequestWaitReplyPort                                                                                  80596BE0 5 Bytes  JMP 85C41D90 
.text                                                                                                                                 C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                             section is writeable [0xF68C0380, 0x346307, 0xE8000020]
.text                                                                                                                                 win32k.sys!EngAcquireSemaphore + 16AA                                                                                BF808524 5 Bytes  JMP 85C414D0 
.text                                                                                                                                 win32k.sys!EngFreeUserMem + 423C                                                                                     BF80F617 5 Bytes  JMP 85C41430 
.text                                                                                                                                 win32k.sys!EngBitBlt + 92E                                                                                           BF827A42 5 Bytes  JMP 85C41610 
.text                                                                                                                                 win32k.sys!EngLockSurface + 153C                                                                                     BF82FE58 5 Bytes  JMP 85C41750 
.text                                                                                                                                 win32k.sys!EngUnmapFontFileFD + 112EA                                                                                BF843888 5 Bytes  JMP 85C41A70 
.text                                                                                                                                 win32k.sys!EngMulDiv + 5509                                                                                          BF849B03 5 Bytes  JMP 85C417F0 
.text                                                                                                                                 win32k.sys!EngStrokePath + 70B2                                                                                      BF880DD8 5 Bytes  JMP 85C41930 
.text                                                                                                                                 win32k.sys!EngGradientFill + 4E4E                                                                                    BF8CEEE5 5 Bytes  JMP 85C419D0 
.text                                                                                                                                 win32k.sys!FONTOBJ_pxoGetXform + 77F                                                                                 BF8FAF06 5 Bytes  JMP 85C416B0 
.text                                                                                                                                 win32k.sys!FONTOBJ_pxoGetXform + 230B                                                                                BF8FCA92 5 Bytes  JMP 85C41570 
.text                                                                                                                                 win32k.sys!EngCreateClip + 1993                                                                                      BF911AD9 5 Bytes  JMP 85C41B10 
.text                                                                                                                                 win32k.sys!EngCreateClip + 1F23                                                                                      BF912069 5 Bytes  JMP 85C41BB0 
.text                                                                                                                                 win32k.sys!EngCreateClip + 2569                                                                                      BF9126AF 5 Bytes  JMP 85C41890 
.text                                                                                                                                 C:\WINDOWS\system32\drivers\hardlock.sys                                                                             section is writeable [0xBA7DC400, 0x7A186, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA87AA20]  C:\WINDOWS\system32\drivers\hardlock.sys                                                                             entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA87AA20]
.protectÿÿÿÿhardlockunknown last code section [0xBA87A800, 0x5041, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                                                             unknown last code section [0xBA87A800, 0x5041, 0xE0000020]

---- Devices - GMER 2.1 ----

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                                                             fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 2.1 ----

Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  (null)
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x90 0x45 0xB8 0x32 ...
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x46 0xAE 0x5F 0xF2 ...
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x90 0x7B 0xD4 0xDE ...
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      (null)
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x90 0x45 0xB8 0x32 ...
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x46 0xAE 0x5F 0xF2 ...
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x90 0x7B 0xD4 0xDE ...

---- EOF - GMER 2.1 ----

Alt 17.02.2013, 18:16   #2
markusg
/// Malware-holic
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


hi
windows updates fehlen, avira ist total veraltet etc.
sind das alle Malwarebytes Logs, falls nein, reiche ältere sammt Avira Fundmeldungen nach.
http://www.trojaner-board.de/125889-...en-posten.html
__________________

__________________
Alt 17.02.2013, 18:42   #3
Brain2401
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


Hallo markus,

Nein, es existieren keine älteren Log-Files, habe das programm direkt vor dem geposteten log erstmals installiert.


Zusatz: ich habe auf dem betroffenen PC keine internetverbindung. mit den anderen Rechnern im Netzwerk komme ich überall ins internet, beim betroffenen nur ins lan, aber ohne internetzugang.
__________________
Alt 17.02.2013, 18:43   #4
markusg
/// Malware-holic
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


ok, Avira Fundmeldungen nachreichen.
Gibts ne Fehlermeldung bei Inet Verbindung?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.02.2013, 18:59   #5
Brain2401
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


Nein, es scheint als ob er ganz normal eine Verbindung herstellt, aber er öffnet keine Internetseiten. (mit IE und Firefox getestet)

Ich lasse grade nochmal einen neuen Scan mit Antivir durchlaufen, und poste da Ergebnis dann gleich


Alt 17.02.2013, 19:09   #6
markusg
/// Malware-holic
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


ich möchte keinen neuen scan sehen sondern bisherige Fundmeldungen.
Bitte mache nur das, was hier steht, danke.
__________________
--> runcft.ink im Autostart

Alt 17.02.2013, 20:07   #7
Brain2401
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


die letzten Funde mit Avira:

Code:
ATTFilter
Exportierte Ereignisse:

05.02.2013 21:50 [Scanner] Malware gefunden
      Die Datei 'C:\WINDOWS\system32\01001.082\components\AcroFF082.dll.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:50 [Scanner] Malware gefunden
      Die Datei 'C:\WINDOWS\system32\01001.080\components\AcroFF080.dll.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:50 [Scanner] Malware gefunden
      Die Datei 'C:\WINDOWS\system32\01001.078\components\AcroFF078.dll.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:50 [Scanner] Malware gefunden
      Die Datei 'C:\WINDOWS\system32\01001.072\components\AcroFF072.dll.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Barys.6056' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:50 [Scanner] Malware gefunden
      Die Datei 'C:\WINDOWS\system32\01001.071\components\AcroFF071.dll.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Barys.6056.9' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:47 [Scanner] Malware gefunden
      Die Datei 'C:\WINDOWS\system32\AcroIEHelpe160.dll.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.F.4' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:43 [Scanner] Malware gefunden
      Die Datei 'C:\WINDOWS\msa.exe.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.jan' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:40 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123771.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123234.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.M' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123164.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.J.1' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123081.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123053.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123050.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123019.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0123004.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122975.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122964.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122946.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122841.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122800.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122769.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:39 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122768.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0122753.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121743.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121732.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.E.1' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121720.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121717.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121703.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Barys.6056' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121682.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Farko.mn' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121613.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121601.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Barys.6056.9' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121599.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121551.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/PSW.Banker.O.28' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121550.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.aotx.1' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121520.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/PSW.Banker.O.28' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0121510.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.11' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120500.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.E.2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:38 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120499.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120476.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120457.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.40' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120362.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.115' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120348.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.E.3' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120328.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.181' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120327.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.E' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120326.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120291.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.142' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120272.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.784332568' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120257.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120242.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.62' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120228.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.208' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120194.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.F.2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120179.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.59' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:37 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120175.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.F.4' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120174.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120159.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.60' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120125.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.bafi.F.3' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120093.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.784332568' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120064.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.271' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120053.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.156' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120036.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.171' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0120035.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Agent.ccfd' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119968.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.286' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119937.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Barys.5069' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119923.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Agent.cceh' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119901.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Barys.5404' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:36 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119886.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.784332568' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:35 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119791.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.79168.1' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:35 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119777.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Farko.lw' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:35 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119776.dll.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Agent.ccdh' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:35 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119773.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Jorik.Banker.bqw' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:35 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119743.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.239' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:35 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP210\A0119698.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.OO.35' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:26 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{D566554F-88CA-489B-BA9D-F4D00CA217A8}\RP196\A0100545.exe.vi
      r'
      enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 21:21 [Scanner] Malware gefunden
      Die Datei 'C:\Recycle.Bin\config.bin.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.B.cfg.71' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 20:26 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Temporary 
      Internet Files\Content.IE5\PVZK0NZF\fpc3[1].js.vir'
      enthielt einen Virus oder unerwünschtes Programm 'JS/Pornpop.C' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 19:20 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temp\Qlz.exe.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 19:20 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temp\Ql0.exe.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 19:20 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temp\L.class.vir'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/JAVA.Ternub.Gen' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 19:20 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temp\jar_cache43458.tmp.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 19:20 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temp\b.exe.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.jan' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 19:08 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temp\a.exe.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Agent.obe.2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 18:42 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\Gabi\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\2458943a-75a
      3346a.vir'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2010-0840.BC' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 18:42 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\Gabi\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\6053e339-77d
      a863c.vir'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Jogek.DI' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 18:41 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\Gabi\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28\889bfdc-378c
      468a.vir'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/JAVA.Ternub.Gen' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 18:41 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\Gabi\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\7c882d97-65f
      10bce.vir'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.NBC.1409' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 18:41 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\Gabi\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\474b614f-5cf
      cacd1.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Maljava.A.57' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

05.02.2013 18:41 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\Gabi\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\6a135681-34d7
      039e.vir'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/JAVA.Mabowl.Gen' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

31.01.2013 15:46 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temporary Internet 
      Files\Content.IE5\YO7QDM90\COMPUTER.PACK[1].htm'
      wurde ein Virus oder unerwünschtes Programm 'EXP/CVE-2011-3402.B' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

31.01.2013 15:46 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temporary Internet 
      Files\Content.IE5\YO7QDM90\COMPUTER.PACK[1].htm'
      wurde ein Virus oder unerwünschtes Programm 'EXP/CVE-2011-3402.B' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

31.01.2013 15:45 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temporary Internet 
      Files\Content.IE5\6JG5PLTK\thehellcat_com[1].htm'
      wurde ein Virus oder unerwünschtes Programm 'JS/JEHBlock.A' [virus] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

31.01.2013 15:45 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Gabi\Lokale 
      Einstellungen\Temporary Internet 
      Files\Content.IE5\6JG5PLTK\thehellcat_com[1].htm'
      wurde ein Virus oder unerwünschtes Programm 'JS/JEHBlock.A' [virus] gefunden.
      Ausgeführte Aktion: Zugriff verweigern
Geändert von Brain2401 (17.02.2013 um 20:13 Uhr)

Alt 17.02.2013, 20:22   #8
markusg
/// Malware-holic
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


hi,
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.02.2013, 20:37   #9
Brain2401
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


Combifix startet, und stellt fest dass die Wiederherstellungskonsole nicht aktiv ist.
Ich benötige eine Internetverbindung am defekten Rechner, um diese freizuschalten, das ist aber nicht möglich da ich dort keine funktionierende Verbindung herstellen kann.

Gibt es eine andere möglichkeit?

Alt 17.02.2013, 20:38   #10
markusg
/// Malware-holic
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


Hi
bitte ohne Konsole.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.02.2013, 21:47   #11
Brain2401
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


Logfile von Combofix

Code:
ATTFilter
ComboFix 13-02-15.01 - Gabi 17.02.2013  20:39:23.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Gabi\Desktop\ComboFix.exe
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml1F.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml20.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml21.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4E.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4F.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml50.tmp
c:\dokumente und einstellungen\Gabi\WINDOWS
C:\Install.exe
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
c:\windows\IsUn0407.exe
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
c:\windows\system32\AutoRun.inf
c:\windows\system32\kock
c:\windows\system32\msssc.dll
c:\windows\system32\tmp21.tmp
c:\windows\system32\tmp22.tmp
c:\windows\system32\UAs
c:\windows\system32\UAs\iexplore.exe_UAs001.dat
c:\windows\system32\UAs\iexplore.exe_UAs002.dat
c:\windows\system32\UAs\msimn.exe_UAs001.dat
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-17 bis 2013-02-17  ))))))))))))))))))))))))))))))
.
.
2013-02-17 10:58 . 2013-02-17 10:58	--------	d-----w-	c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Malwarebytes
2013-02-17 10:58 . 2013-02-17 10:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-02-17 10:58 . 2013-02-17 10:58	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-02-17 10:58 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-02-09 14:17 . 2013-02-09 14:17	16856	----a-w-	c:\programme\Mozilla Firefox\plugin-container.exe
2013-02-09 14:17 . 2013-02-09 14:17	719832	----a-w-	c:\programme\Mozilla Firefox\mozcpp19.dll
2013-02-04 20:01 . 2013-02-04 20:01	477616	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-02-04 20:01 . 2013-02-04 20:01	473520	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-01 18:13 . 2013-02-01 18:46	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-02-01 14:54 . 2013-02-01 14:54	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-01-31 14:46 . 2013-02-01 14:54	2933	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-04 20:01 . 2008-02-13 21:11	73728	----a-w-	c:\windows\system32\javacpl.cpl
2006-07-18 22:17 . 2009-06-12 15:42	5189678	----a-w-	c:\programme\sldappu.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-10-07 323392]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2010-02-03 394984]
"Akamai NetSession Interface"="c:\dokumente und einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" [2012-10-09 4441920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"nwiz"="nwiz.exe" [2007-12-05 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-02-13 77824]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 16125440]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"PWRISOVM.EXE"="c:\programme\PowerISO\PWRISOVM.EXE" [2008-07-07 167936]
"Share-to-Web Namespace Daemon"="c:\programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"EEventManager"="c:\programme\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2005-01-06 15360]
.
c:\dokumente und einstellungen\Gabi\Startmenü\Programme\Autostart\
MagicDisc.lnk - c:\programme\MagicDisc\MagicDisc.exe [2008-7-21 547840]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Gabi^Startmenü^Programme^Autostart^hamachi.lnk]
path=c:\dokumente und einstellungen\Gabi\Startmenü\Programme\Autostart\hamachi.lnk
backup=c:\windows\pss\hamachi.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2008-09-26 09:02	2356088	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-02-13 23:09	486856	----a-w-	c:\programme\DAEMON Tools Lite\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-10-19 15:18	17875120	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\aon\\aonController\\aonController.exe"=
"c:\\Programme\\aon\\aonInstaller\\aonInstaller.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Gabi\\Lokale Einstellungen\\Anwendungsdaten\\Akamai\\netsession_win.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"c:\\Programme\\EpsonNet\\EpsonNet Setup\\tool10\\ENEasyApp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.02.2008 12:03 716272]
R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14.05.2009 17:07 759048]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [06.01.2005 05:00 14336]
R2 Skype C2C Service;Skype C2C Service;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe [02.10.2012 12:13 3064000]
S2 gupdate1c9e29b9739b1de;Google Update Service (gupdate1c9e29b9739b1de);c:\programme\Google\Update\GoogleUpdate.exe [01.06.2009 10:30 133104]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [19.10.2012 16:14 160944]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;d:\sisoftware sandra lite 2010c\RpcAgentSrv.exe --> d:\sisoftware sandra lite 2010c\RpcAgentSrv.exe [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-02-01 14:33	1607120	----a-w-	c:\programme\Google\Chrome\Application\24.0.1312.57\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd934e55988fea.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-01 09:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aon.at
uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\pac3fmdi.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.facebook.com
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{8BBE6A70-EF84-47FA-B5DE-EDD0DF18461F} - c:\windows\system32\AcroIEHelpe187.dll
BHO-{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} - (no file)
HKCU-Run-Makro - c:\dokumente und einstellungen\Gabi\Desktop\Makro\Makro.exe
HKLM-Run-NapsterShell - c:\programme\Napster\napster.exe
MSConfigStartUp-ICQ - c:\programme\ICQ6\ICQ.exe
MSConfigStartUp-MsnMsgr - c:\programme\Windows Live\Messenger\msnmsgr.exe
AddRemove-Adobe Acrobat 4.0 - c:\windows\ISUN0407.EXE
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe
AddRemove-{C3113E55-7BCB-4de3-8EBF-60E6CE6B2296}_is1 - d:\sisoftware sandra lite 2010c\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-17 21:26
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="c:\programme\gemeinsame dateien\akamai/netsession_win_ce5ba24.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-823518204-926492609-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7d,97,5e,0d,e7,a1,37,ef,f4,5b,4c,77,83,bb,43,6c,04,ec,13,92,82,11,d8,
   12,cb,c3,71,10,c3,53,ac,af,bb,82,06,ab,ee,f8,7a,aa,13,b3,d7,23,6b,4f,89,74,\
"??"=hex:49,70,32,f6,7d,a1,7d,bd,71,2d,df,c5,13,5e,4d,be
.
[HKEY_USERS\S-1-5-21-823518204-926492609-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:95,f2,d5,15,e6,16,5d,5a,0b,38,d8,6f,0c,eb,90,98,94,7b,c5,f7,b9,
   e0,3c,91,94,a2,42,f3,80,3f,03,c3,1f,b3,d8,6b,21,55,5e,bd,65,17,1c,c5,26,ea,\
"rkeysecu"=hex:69,83,62,f2,aa,78,9e,2a,82,b3,e5,b5,01,18,53,d0
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3776)
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-17  21:30:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-02-17 20:30
.
Vor Suchlauf: 12 Verzeichnis(se), 17.191.669.760 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 24.984.272.896 Bytes frei
.
- - End Of File - - F9CE3563DAC5D9CA6E007150CAA2F0FA

Alt 18.02.2013, 15:01   #12
markusg
/// Malware-holic
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


wird das Gerät für onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem genutzt?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.02.2013, 15:06   #13
Brain2401
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


Nein, Weder online-banking oder ähnliches, noch berufliche Nutzung.

Private E-Mails lesen, Internet-Surfen, hin und wieder Office arbeiten.

Alt 18.02.2013, 15:49   #14
markusg
/// Malware-holic
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


teste bitte, ob das internet funktioniert.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.02.2013, 16:23   #15
Brain2401
 
runcft.ink im Autostart - Standard

runcft.ink im Autostart


Internetverbindung hergestellt, Internetseiten können wieder normal geöffnet werden.
(Mit IE und Firefox getestet).

Antwort
Seite 1 von 3 1 23

Themen zu runcft.ink im Autostart
exploit.drop.gsa, fontcache, hdaudio.sys, js/pornpop.c, makro, malware.trace, microsoft office 2003, msiinstaller, plug-in, poweriso, recycle.bin, stolen.data, tr/atraps.gen, tr/barys.6056, tr/crypt.epack.gen2, tr/dldr.zlob.jan, tr/eyestye.b.cfg.71, tr/jorik.banker.bqw, tr/spy.agent.ccdh, tr/spy.bafi.j.1, tr/spy.bafi.m, tr/spy.banker.gen, tr/spy.farko.lw, tr/spy.farko.mn, trojan.agent, trojan.banker, trojan.downloader, trojan.fakealert, trojan.fakems, trojan.ransom.sugen, trojan.renos, trojan.spyeyes, win32k.sys, windows internet, worm.autorun, xmldm


« Ihr Computer ist gesperrt - OTLPE Log - Was nun? | Umleitung auf fremde Seiten beim Anklicken von Googlelinks »


Ähnliche Themen: runcft.ink im Autostart


  1. tbhcn.exe im Autostart
    Plagegeister aller Art und deren Bekämpfung - 15.08.2013 (13)
  2. GVU-Tojaner (runcft) mit Webcam!
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (17)
  3. tcbhn im Autostart!
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (58)
  4. tbhcn in Autostart
    Log-Analyse und Auswertung - 13.11.2012 (1)
  5. UpgradeChecker.exe etc. im Autostart
    Log-Analyse und Auswertung - 27.09.2012 (7)
  6. Autostart tbhcn, was nun?
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (10)
  7. GMX Update im Autostart
    Alles rund um Windows - 12.04.2011 (2)
  8. fheydbueyj.exe im Autostart. Was ist das?
    Plagegeister aller Art und deren Bekämpfung - 29.10.2010 (10)
  9. netuza32.exe in Autostart
    Plagegeister aller Art und deren Bekämpfung - 10.02.2010 (2)
  10. Autostart von eleet
    Plagegeister aller Art und deren Bekämpfung - 15.08.2009 (0)
  11. Autostart abstellen
    Alles rund um Windows - 12.03.2009 (8)
  12. Spyware im Autostart
    Plagegeister aller Art und deren Bekämpfung - 07.09.2008 (1)
  13. svchost.exe im autostart
    Plagegeister aller Art und deren Bekämpfung - 13.05.2007 (1)
  14. Winfixer2005ScannerInstallDE im Autostart
    Log-Analyse und Auswertung - 01.02.2007 (6)
  15. Kein Autostart
    Log-Analyse und Auswertung - 09.01.2007 (5)
  16. Systemkonfiguration und Autostart
    Alles rund um Windows - 06.08.2006 (2)
  17. Trojaner (?) im Autostart!!
    Plagegeister aller Art und deren Bekämpfung - 08.06.2006 (20)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema runcft.ink im Autostart - Guten Abend! Vor einiger Zeit(ca 3 monate) hat sich meine Familie am Rechner den BKA ("Polizei-Virus") eingefangen. Ich habe dank eures Forums diesen dann auch soweit entfernt, dass man wieder - runcft.ink im Autostart...
Archiv
Du betrachtest: runcft.ink im Autostart auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24