Dldr.Gadja.A.2 oder Trojan.Dropper / mit Logfiles

tmp_killer · 02.01.2010, 21:47

Guten Abend !

ich habe hier nach einem Verdacht auf Dldr.Gadja.A.2 oder Trojan.Dropper ein Logfile mit Combofix (wie in Ein Leitfaden und Tutorium zur Nutzung von ComboFix beschrieben) erstellt und würde mich über Tipps, wie es nun weitergeht recht freuen.

Im Ordner C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp existiert unlöschbar eine Datei in1.tmp oder ähnlich.

Ich verwende Avira Personal

Code:

ATTFilter

ComboFix 10-01-01.05 - Administrator 02.01.2010  20:15:59.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.720 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\LOG.TXT
c:\programme\Search Settings
c:\programme\Search Settings\kb127\SearchSettings.dll
c:\programme\Search Settings\kb127\SearchSettingsRes409.dll
c:\programme\Search Settings\SearchSettings.exe
c:\windows\system32\STEC3.sys
E:\AUTORUN.INF

----- BITS: Eventuell infizierte Webseiten -----

hxxp://samuraineverdiee.com
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\dllcache\userinit.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_STEC3
-------\Service_STEC3


(((((((((((((((((((((((   Dateien erstellt von 2009-12-02 bis 2010-01-02  ))))))))))))))))))))))))))))))
.

2009-12-27 15:34 . 2009-12-27 15:34	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2009-12-27 15:34 . 2009-12-27 15:34	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2009-12-26 20:42 . 2009-12-26 20:42	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IECompatCache
2009-12-26 11:08 . 2009-12-26 11:08	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\PrivacIE
2009-12-26 11:05 . 2009-12-26 11:05	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2009-12-26 11:03 . 2009-12-26 11:03	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ACD22DA6-75BE-4B73-8FEE-D4717AEBEFA5}
2009-12-26 11:03 . 2009-11-26 09:45	2775333	-c--a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ACD22DA6-75BE-4B73-8FEE-D4717AEBEFA5}\InternetExplorer-WEB.DE-addon.exe
2009-12-26 11:02 . 2009-12-26 11:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
2009-12-26 11:02 . 2009-12-26 11:02	1204096	----a-w-	c:\windows\system32\ieconfig_1und1.dll
2009-12-26 11:02 . 2009-12-26 11:02	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\PackageAware
2009-12-26 11:02 . 2009-12-26 11:03	--------	d--h--w-	c:\windows\msdownld.tmp
2009-12-26 11:02 . 2009-01-07 17:20	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2009-12-26 11:02 . 2009-12-26 11:02	--------	dc-h--w-	c:\windows\ie8
2009-12-26 11:02 . 2009-12-26 11:02	--------	d-----w-	c:\windows\system32\de-DE
2009-12-26 11:01 . 2009-12-26 10:59	27871152	----a-w-	c:\programme\IE8-Setup-Full-xp32.exe
2009-12-26 10:50 . 2006-05-24 12:36	110592	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\U3\temp\cleanup.exe
2009-12-17 12:06 . 2009-12-17 12:06	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-12-17 12:05 . 2009-12-17 12:05	152576	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-17 12:04 . 2009-12-17 12:04	79488	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-13 22:08 . 2004-11-11 12:00	25088	----a-w-	c:\windows\system32\stu2.exe
2009-12-12 20:18 . 2009-12-12 20:19	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoft
2009-12-12 20:18 . 2009-12-12 20:18	--------	d-----w-	c:\programme\Conduit
2009-12-12 20:18 . 2009-12-12 20:18	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Conduit
2009-12-12 20:18 . 2009-12-12 20:33	--------	d-----w-	c:\programme\DVDVideoSoft
2009-12-12 20:17 . 2009-12-12 20:33	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-12 13:11 . 2009-12-26 20:26	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Eigene Dateien

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-26 10:50 . 2009-05-16 19:12	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\U3
2009-12-25 18:46 . 2009-10-04 20:07	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\FreeFLVConverter
2009-12-09 08:10 . 2009-11-24 17:43	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-03 13:58 . 2005-03-06 12:29	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM
2009-11-29 09:38 . 2009-11-29 09:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-11-25 19:13 . 2005-03-02 19:47	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-24 17:42 . 2009-11-24 17:42	--------	d-----w-	c:\programme\Avira
2009-11-24 17:42 . 2009-11-24 17:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-24 17:30 . 2004-11-11 12:00	405464	----a-w-	c:\windows\system32\perfh007.dat
2009-11-24 17:30 . 2004-11-11 12:00	70588	----a-w-	c:\windows\system32\perfc007.dat
2009-11-19 19:54 . 2009-11-19 19:54	--------	d-----w-	c:\programme\Ask.com
2009-11-11 13:50 . 2008-12-27 14:43	311296	----a-w-	c:\windows\system32\TubeFinder.exe
2004-11-11 12:00 . 2004-11-11 12:00	94800	-csh--w-	c:\windows\twain.dll
2004-11-11 12:00 . 2004-11-11 12:00	50688	-csh--w-	c:\windows\twain_32.dll
2004-11-11 12:00 . 2004-11-11 12:00	1028096	--sh--w-	c:\windows\system32\mfc42.dll
2004-11-11 12:00 . 2004-11-11 12:00	54784	--sh--w-	c:\windows\system32\msvcirt.dll
2004-11-11 12:00 . 2004-11-11 12:00	413696	--sh--w-	c:\windows\system32\msvcp60.dll
2004-11-11 12:00 . 2004-11-11 12:00	343040	--sh--w-	c:\windows\system32\msvcrt.dll
2004-11-11 12:00 . 2004-11-11 12:00	553472	--sh--w-	c:\windows\system32\oleaut32.dll
2004-11-11 12:00 . 2004-11-11 12:00	83456	--sh--w-	c:\windows\system32\olepro32.dll
2004-11-11 12:00 . 2004-11-11 12:00	12288	--sh--w-	c:\windows\system32\regsvr32.exe
.

------- Sigcheck -------

[-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-06 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-30 4603904]
"nwiz"="nwiz.exe" [2004-09-30 921600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-09-30 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SoundMan"="SOUNDMAN.EXE" [2004-02-09 65024]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"SunJavaUpdateSched"="e:\java\bin\jusched.exe" [2009-12-17 149280]
"T-DSL SpeedMgr"="c:\programme\T-DSL SpeedManager\SpeedMgr.exe" [2004-07-14 397312]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Cyber-shot Viewer-Medien-Prfung.lnk - e:\volumewatcher\SPUVolumeWatcher.exe [2007-1-30 155648]
Reboot.exe [2002-8-20 432128]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
HotKey Driver.lnk - c:\programme\HotKey\HotKey.exe [2005-3-6 36864]
WISO Urteilsmonitor.lnk - c:\programme\WISO\Sparbuch 2008\urteilsmonitor.exe [2008-9-11 995328]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\NascarRacing03\\NR2003.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [03.06.2003 15:52 123957]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [02.03.2005 20:48 77312]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [03.06.2003 15:52 46900]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.11.2009 18:43 108289]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [14.03.2007 23:28 6016]
S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 17:44 9696]
.
Inhalt des "geplante Tasks" Ordners

2009-10-23 c:\windows\Tasks\1-Klick-Wartung.job
- e:\winprogs\FixItUtil\SystemOptimizer.exe [2004-08-05 16:33]

2010-01-02 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2009-06-16 16:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://go.web.de/home
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
IE: Compare Prices with &Dealio - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dealio\kb127\res\DealioSearch.html
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - e:\winprogs\Offixexp\Office10\EXCEL.EXE/3000
TCP: {E92422D0-7E6D-4FBA-89E8-2982D4F6E838} = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - (no file)
BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
BHO-{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - (no file)
Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Toolbar-{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - (no file)
HKLM-Run-SearchSettings - c:\programme\Search Settings\SearchSettings.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 20:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-854245398-1177238915-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,92,4b,83,ce,71,5c,42,41,b9,29,a6,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,92,4b,83,ce,71,5c,42,41,b9,29,a6,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\sfc_os.dll

- - - - - - - > 'explorer.exe'(3468)
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
e:\java\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
e:\winprogs\DriveImage7\Agent\PQV2iSvc.exe
c:\windows\system32\wscntfy.exe
c:\programme\T-DSL SpeedManager\tsmsvc.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-02  20:23:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-02 19:23

Vor Suchlauf: 6 Verzeichnis(se), 13.639.659.520 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 13.750.386.688 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8EA895C895CF5F98CDC875D30F3DC62F

Danach hab' ich Anti-Malware gemäß Eurer Beschreibung laufen lassen.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

02.01.2010 21:39:15
mbam-log-2010-01-02 (21-39-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 167712
Laufzeit: 25 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{67450775-3b18-49b1-aa83-0e010f07f4df} (Trojan.Dropper) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{69b3ebfa-0015-4914-9312-e7758eacfac1} (Trojan.Dropper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{30de9920-2e84-40a2-88a5-b8d256e15101} (Trojan.Dropper) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Gemeinsame Dateien\ACD Systems\Filters\EITCC_LinearBlur.dll (Trojan.Dropper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Gemeinsame Dateien\ACD Systems\Filters\EITCC_LinearBlur.dll (Trojan.Dropper) -> No action taken.
C:\WINDOWS\casino1.ini (Malware.Trace) -> No action taken.

Hier das log von rsit.exe

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-01-02 21:42:51
Microsoft Windows XP Professional Service Pack 2
System drive C: has 13 GB (65%) free of 20 GB
Total RAM: 1023 MB (29% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:59, on 02.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
E:\Java\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
E:\WinProgs\DriveImage7\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\Java\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\HotKey\HotKey.exe
E:\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\trend micro\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.web.de/suchbox/webdesuche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: WEB.DE Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\kb127\Dealio.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk = E:\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotKey Driver.lnk = C:\Programme\HotKey\HotKey.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dealio\kb127\res\DealioSearch.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\WinProgs\Offixexp\Office10\EXCEL.EXE/3000
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb127\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb127\Dealio.dll
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - https://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E92422D0-7E6D-4FBA-89E8-2982D4F6E838}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CAILI - Unknown owner - C:\WINDOWS\system32\caili.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Java\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\WinProgs\FixItUtil\WinStylerThemeSvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - E:\WinProgs\DriveImage7\Agent\PQV2iSvc.exe

--
End of file - 7683 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A87B991-A31F-4130-AE72-6D0C294BF082}]
DealioBHO Class

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D48FF4B4-E68F-47D1-8E25-81A0F0EEB341}]
WEB.DE Browser Configuration by mquadr.at - C:\WINDOWS\system32\ieconfig_1und1.dll [2009-12-26 1204096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2004-04-16 405504]
{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - Dealio - C:\Programme\Dealio\kb127\Dealio.dll [2008-05-26 3170144]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-12-01 263280]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2004-09-30 4603904]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2004-09-30 86016]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2004-02-09 65024]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
"SunJavaUpdateSched"=E:\Java\bin\jusched.exe [2009-12-17 149280]
"T-DSL SpeedMgr"=C:\Programme\T-DSL SpeedManager\SpeedMgr.exe [2004-07-14 397312]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-12-30 429392]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-08-06 68856]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-11-11 15360]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
HotKey Driver.lnk - C:\Programme\HotKey\HotKey.exe
WISO Urteilsmonitor.lnk - C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
Cyber-shot Viewer-Medien-Prüfung.lnk - E:\VolumeWatcher\SPUVolumeWatcher.exe
Reboot.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoRecentDocsMenue"=1
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\NascarRacing03\NR2003.exe"="D:\NascarRacing03\NR2003.exe:*:Disabled:NASCAR Racing 2003 Season"
"C:\Programme\UltraVNC\winvnc.exe"="C:\Programme\UltraVNC\winvnc.exe:*:Enabled:VNC Server für Win32"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-01-02 21:42:52 ----D---- C:\Programme\trend micro
2010-01-02 21:42:51 ----D---- C:\rsit
2010-01-02 21:39:15 ----A---- C:\mbam-log-2010-01-02 (21-39-08).txt
2010-01-02 21:12:48 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-02 21:12:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-02 21:12:42 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-02 20:39:48 ----SHD---- C:\RECYCLER
2010-01-02 20:36:50 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2010-01-02 20:36:47 ----D---- C:\WINDOWS\LastGood
2010-01-02 20:26:06 ----A---- C:\Kopie von ComboFix.txt
2010-01-02 20:23:08 ----A---- C:\ComboFix.txt
2010-01-02 20:15:34 ----A---- C:\Boot.bak
2010-01-02 20:15:32 ----RASHD---- C:\cmdcons
2010-01-02 20:15:02 ----D---- C:\ComboFix
2010-01-02 20:12:57 ----A---- C:\WINDOWS\zip.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\SWSC.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\SWREG.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\sed.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\PEV.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\NIRCMD.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\MBR.exe
2010-01-02 20:12:57 ----A---- C:\WINDOWS\grep.exe
2010-01-02 20:12:55 ----D---- C:\WINDOWS\ERDNT
2010-01-02 19:21:44 ----A---- C:\WINDOWS\ntbtlog.txt
2010-01-02 19:07:27 ----AD---- C:\Qoobox
2009-12-26 12:03:25 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
2009-12-26 12:03:02 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{ACD22DA6-75BE-4B73-8FEE-D4717AEBEFA5}
2009-12-26 12:02:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
2009-12-26 12:02:54 ----A---- C:\WINDOWS\system32\ieconfig_1und1.dll
2009-12-26 12:02:49 ----HD---- C:\WINDOWS\msdownld.tmp
2009-12-26 12:02:35 ----D---- C:\WINDOWS\WBEM
2009-12-26 12:02:20 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-12-26 12:02:17 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-12-26 12:02:11 ----HDC---- C:\WINDOWS\ie8
2009-12-26 12:02:11 ----D---- C:\WINDOWS\system32\de-DE
2009-12-26 12:01:06 ----A---- C:\Programme\IE8-Setup-Full-xp32.exe
2009-12-17 13:06:07 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-12-13 23:08:48 ----A---- C:\WINDOWS\system32\stu2.exe
2009-12-12 21:18:06 ----D---- C:\Programme\Conduit
2009-12-12 21:18:05 ----D---- C:\Programme\DVDVideoSoft
2009-12-12 21:17:58 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-03 14:58:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-12-03 14:57:34 ----D---- C:\Programme\Adobe

======List of files/folders modified in the last 1 months======

2010-01-02 21:42:52 ----RD---- C:\Programme
2010-01-02 21:12:45 ----D---- C:\WINDOWS\system32\drivers
2010-01-02 20:36:59 ----D---- C:\WINDOWS\SoftwareDistribution
2010-01-02 20:36:57 ----D---- C:\WINDOWS\Temp
2010-01-02 20:36:57 ----D---- C:\WINDOWS\system32
2010-01-02 20:36:57 ----D---- C:\WINDOWS\Help
2010-01-02 20:36:56 ----RSHD---- C:\WINDOWS\system32\dllcache
2010-01-02 20:36:52 ----HD---- C:\WINDOWS\inf
2010-01-02 20:36:47 ----D---- C:\WINDOWS
2010-01-02 20:27:58 ----A---- C:\WINDOWS\Hotkey.INI
2010-01-02 20:27:57 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-02 20:26:22 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-02 20:22:01 ----D---- C:\WINDOWS\Prefetch
2010-01-02 20:21:34 ----A---- C:\WINDOWS\system.ini
2010-01-02 20:18:26 ----D---- C:\WINDOWS\system32\config
2010-01-02 20:17:23 ----D---- C:\WINDOWS\AppPatch
2010-01-02 20:17:22 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-02 20:15:34 ----RASH---- C:\boot.ini
2010-01-02 20:12:57 ----SHD---- C:\System Volume Information
2010-01-02 20:12:57 ----D---- C:\WINDOWS\system32\Restore
2010-01-02 19:06:10 ----D---- C:\WINDOWS\Minidump
2010-01-02 16:37:24 ----A---- C:\WINDOWS\NeroDigital.ini
2009-12-31 15:53:06 ----A---- C:\WINDOWS\winamp.ini
2009-12-31 14:45:29 ----D---- C:\BJPrinter
2009-12-26 12:05:16 ----D---- C:\Programme\Internet Explorer
2009-12-26 12:03:02 ----SHD---- C:\WINDOWS\Installer
2009-12-26 12:02:49 ----A---- C:\WINDOWS\imsins.BAK
2009-12-26 12:02:29 ----D---- C:\WINDOWS\Media
2009-12-26 11:50:39 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2009-12-25 19:46:23 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FreeFLVConverter
2009-12-23 23:01:54 ----A---- C:\WINDOWS\wskat.ini
2009-12-17 13:06:00 ----A---- C:\WINDOWS\system32\javaws.exe
2009-12-17 13:06:00 ----A---- C:\WINDOWS\system32\javaw.exe
2009-12-17 13:06:00 ----A---- C:\WINDOWS\system32\java.exe
2009-12-14 21:47:03 ----A---- C:\WINDOWS\IE4 Error Log.txt
2009-12-05 10:03:48 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-12-03 14:58:52 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2008-04-06 33408]
R1 GearAspiWDM;GearAspiWDM; C:\WINDOWS\system32\drivers\GearAspiWDM.sys [2003-04-15 9632]
R1 PQIMount;PQIMount; C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R1 PQNTDrv;PQNTDrv; C:\WINDOWS\system32\drivers\PQNTDrv.sys [2002-09-16 4228]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-01-12 17801]
R2 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [1999-09-10 25244]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-09 56816]
R2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2005-06-13 6016]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2003-12-11 391424]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-02-18 610988]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-11-11 60800]
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2002-10-29 40960]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-11-11 9600]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-11-11 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-09-30 2743840]
R3 PRISM_A02;Sinus 154 stick; C:\WINDOWS\system32\DRIVERS\PRISMA02.sys [2005-10-19 357792]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2002-04-01 19072]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-11-11 57600]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-11-11 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-11-11 20480]
R3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2005-06-13 4736]
R3 vulfntrs;VIA USB Roothub Lower Filter; C:\WINDOWS\System32\Drivers\vulfntr.sys [2002-11-13 10496]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter; C:\WINDOWS\system32\DRIVERS\yukonwxp.sys [2003-12-22 174464]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.SYS []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-11-11 12288]
S3 PCANDIS5;PCANDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM); C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2004-09-17 52384]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2004-09-17 6064]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2004-09-17 84512]
S3 TNPacket;T-Systems Nova Packet Capture Driver; \??\C:\Programme\T-DSL SpeedManager\TNPACKET.SYS []
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 vulfnths;VIA USB Host Controller Lower Filter; C:\WINDOWS\System32\Drivers\vulfnth.sys [2002-10-24 6912]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R01000000 papycpu2;papycpu2; C:\WINDOWS\System32\DRIVERS\papycpu2.sys [2003-01-17 1984]
R01000000 papyjoy;papyjoy; C:\WINDOWS\System32\DRIVERS\papyjoy.sys [2003-01-17 1856]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 GEARSecurity;GEARSecurity; C:\WINDOWS\System32\GEARSec.exe [2002-11-25 49152]
R2 JavaQuickStarterService;Java Quick Starter; E:\Java\bin\jqs.exe [2009-12-17 153376]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2004-09-30 127043]
R2 V2i Protector;V2i Protector; E:\WinProgs\DriveImage7\Agent\PQV2iSvc.exe [2003-06-03 1200128]
R3 TSMService;TSMService; C:\Programme\T-DSL SpeedManager\tsmsvc.exe [2004-07-14 147456]
S2 CAILI;CAILI; C:\WINDOWS\system32\caili.exe [2003-02-25 32768]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; E:\WinProgs\FixItUtil\WinStylerThemeSvc.exe [2004-11-10 118272]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-11-11 38912]

-----------------EOF-----------------

So, jetzt weiss ich auch, nicht welche Malware da nun wirklich Probleme macht und wie ich die dann entfernen kann. Nach Ausführung der obigen Programme kann in nun die Dateien unter C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp löschen.

Hat jemand eine Idee ? Ist das Problem nun behoben ? Auf die Aussagen meines Avira möchte ich mich nun vorerst weniger als 100% verlassen.

Besten Dank im Voraus !!!!

cosinus · 06.01.2010, 14:26

Hallo und

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

tmp_killer · 17.01.2010, 16:56

Hallo cosinus

besten Dank für den Link, ich hab' das Programm laufen lassen und poste nun hier das Logfile

Code:

ATTFilter

   --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Administrator ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:19 Go (Free:10 Go)
   D:\ (Local Disk) - NTFS - Total:48 Go (Free:43 Go)
   E:\ (Local Disk) - NTFS - Total:14 Go (Free:12 Go)
   F:\ (Local Disk) - NTFS - Total:66 Go (Free:20 Go)
   H:\ (USB)
   I:\ (USB)
   J:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   K:\ (CD or DVD)
   L:\ (USB)
   M:\ (USB)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 17.01.2010|16:56 )
 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [03.01.2010|11:15] C:\DOKUME~1\admin2\ANWEND~1\Adobe
   [03.01.2010|11:12] C:\DOKUME~1\admin2\ANWEND~1\Identities
   [03.01.2010|11:16] C:\DOKUME~1\admin2\ANWEND~1\Macromedia
   [03.01.2010|11:15] C:\DOKUME~1\admin2\ANWEND~1\Microsoft
   [03.01.2010|11:12] C:\DOKUME~1\admin2\ANWEND~1\T-DSL SpeedManager
   [0|Datei(en)] C:\DOKUME~1\admin2\ANWEND~1\Bytes
   [7|Verzeichnis(se),] C:\DOKUME~1\admin2\ANWEND~1\Bytes frei

   [03.03.2005|20:20] C:\DOKUME~1\ADMINI~1\ANWEND~1\ACD Systems
   [29.11.2009|10:36] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
   [03.12.2009|14:58] C:\DOKUME~1\ADMINI~1\ANWEND~1\AdobeUM
   [13.06.2005|07:04] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ahead
   [11.09.2008|19:10] C:\DOKUME~1\ADMINI~1\ANWEND~1\Buhl Data Service
   [08.03.2005|10:36] C:\DOKUME~1\ADMINI~1\ANWEND~1\CyberLink
   [21.01.2009|21:14] C:\DOKUME~1\ADMINI~1\ANWEND~1\Dealio
   [25.12.2009|19:46] C:\DOKUME~1\ADMINI~1\ANWEND~1\FreeFLVConverter
   [15.03.2007|00:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Google
   [10.03.2005|18:22] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
   [02.03.2005|20:44] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
   [21.03.2005|16:38] C:\DOKUME~1\ADMINI~1\ANWEND~1\Image Zone Express
   [11.09.2008|19:07] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield
   [02.03.2005|22:36] C:\DOKUME~1\ADMINI~1\ANWEND~1\IsolatedStorage
   [06.03.2005|15:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Lavasoft
   [14.03.2007|23:47] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
   [02.01.2010|21:12] C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes
   [05.07.2007|08:12] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
   [04.01.2010|11:06] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla
   [06.03.2005|13:42] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ordner HP Share-to-Web
   [06.04.2008|13:33] C:\DOKUME~1\ADMINI~1\ANWEND~1\Pegasys Inc
   [27.12.2008|16:29] C:\DOKUME~1\ADMINI~1\ANWEND~1\Search Settings
   [30.01.2007|09:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sony Corporation
   [16.05.2005|16:14] C:\DOKUME~1\ADMINI~1\ANWEND~1\Steinberg
   [01.04.2008|14:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun
   [10.02.2009|18:29] C:\DOKUME~1\ADMINI~1\ANWEND~1\T-DSL SpeedManager
   [06.03.2005|15:39] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
   [26.12.2009|11:50] C:\DOKUME~1\ADMINI~1\ANWEND~1\U3
   [15.01.2010|22:30] C:\DOKUME~1\ADMINI~1\ANWEND~1\ubi.com
   [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
   [31|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

   [26.12.2009|12:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{ACD22DA6-75BE-4B73-8FEE-D4717AEBEFA5}
   [02.03.2005|21:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ACD Systems
   [03.12.2009|14:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [13.01.2010|22:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
   [24.11.2009|18:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
   [11.09.2008|19:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Buhl Data Service GmbH
   [06.03.2005|15:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
   [16.01.2009|16:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
   [26.12.2009|12:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\IEConfiguration1und1
   [02.01.2010|21:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [29.11.2009|10:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\McAfee
   [06.03.2005|14:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [02.03.2005|22:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
   [02.03.2005|22:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PowerQuest
   [27.01.2006|16:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Samsung
   [10.02.2009|18:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\T-DSL SpeedManager
   [06.03.2005|15:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [19|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [02.03.2005|20:41] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [16.01.2010|11:03] C:\DOKUME~1\INTERN~1\ANWEND~1\ACD Systems
   [03.01.2010|11:51] C:\DOKUME~1\INTERN~1\ANWEND~1\Adobe
   [11.01.2010|12:55] C:\DOKUME~1\INTERN~1\ANWEND~1\FreeFLVConverter
   [08.01.2010|18:19] C:\DOKUME~1\INTERN~1\ANWEND~1\Google
   [17.01.2010|15:46] C:\DOKUME~1\INTERN~1\ANWEND~1\Help
   [03.01.2010|11:11] C:\DOKUME~1\INTERN~1\ANWEND~1\Identities
   [03.01.2010|11:32] C:\DOKUME~1\INTERN~1\ANWEND~1\Macromedia
   [15.01.2010|20:57] C:\DOKUME~1\INTERN~1\ANWEND~1\Microsoft
   [04.01.2010|11:06] C:\DOKUME~1\INTERN~1\ANWEND~1\Mozilla
   [16.01.2010|10:21] C:\DOKUME~1\INTERN~1\ANWEND~1\Sony Corporation
   [07.01.2010|13:02] C:\DOKUME~1\INTERN~1\ANWEND~1\Steinberg
   [03.01.2010|11:11] C:\DOKUME~1\INTERN~1\ANWEND~1\T-DSL SpeedManager
   [0|Datei(en)] C:\DOKUME~1\INTERN~1\ANWEND~1\Bytes
   [14|Verzeichnis(se),] C:\DOKUME~1\INTERN~1\ANWEND~1\Bytes frei

   [18.12.2009|10:06] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe
   [02.03.2005|20:41] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [02.03.2005|20:41] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [17.01.2010 16:56][--a------] C:\WINDOWS\tasks\WGASetup.job
   [17.01.2010 16:01][--a------] C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
   [08.01.2010 17:15][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
   [17.01.2010 16:23][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [11.11.2004 13:00][-r-h-c---] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [03.12.2009|14:57] C:\Programme\Adobe
   [24.11.2009|18:41] C:\Programme\AntiVir PersonalEdition Classic
   [19.11.2009|20:54] C:\Programme\Ask.com
   [24.11.2009|18:42] C:\Programme\Avira
   [02.03.2005|20:47] C:\Programme\AvRack
   [13.01.2010|22:01] C:\Programme\Bonjour
   [07.03.2005|11:24] C:\Programme\Borland
   [14.08.2005|14:51] C:\Programme\Canon
   [04.04.2005|20:03] C:\Programme\Cbsinstall
   [03.03.2005|10:27] C:\Programme\Common Files
   [02.03.2005|20:38] C:\Programme\ComPlus Applications
   [12.12.2009|21:18] C:\Programme\Conduit
   [06.03.2005|15:37] C:\Programme\CyberLink
   [13.01.2010|15:36] C:\Programme\Davilex
   [27.12.2008|15:45] C:\Programme\Dealio
   [19.03.2008|13:57] C:\Programme\directx
   [04.03.2007|10:06] C:\Programme\DT
   [12.12.2009|21:33] C:\Programme\DVDVideoSoft
   [21.01.2009|21:17] C:\Programme\Free Audio Pack
   [04.10.2009|21:07] C:\Programme\Free FLV Converter
   [15.01.2010|22:30] C:\Programme\Gemeinsame Dateien
   [17.01.2009|09:48] C:\Programme\Google
   [06.03.2005|13:42] C:\Programme\Hewlett-Packard
   [06.03.2005|17:14] C:\Programme\HotKey
   [16.01.2010|10:03] C:\Programme\InstallShield Installation Information
   [03.01.2010|13:00] C:\Programme\Internet Explorer
   [21.01.2009|13:31] C:\Programme\Java
   [02.01.2010|21:12] C:\Programme\Malwarebytes' Anti-Malware
   [03.03.2005|14:45] C:\Programme\Messenger
   [06.03.2005|16:47] C:\Programme\Micrografx
   [06.03.2005|17:27] C:\Programme\Microsoft Bootvis
   [02.03.2005|20:41] C:\Programme\microsoft frontpage
   [03.03.2005|10:21] C:\Programme\Microsoft Office
   [02.03.2005|20:39] C:\Programme\Movie Maker
   [17.01.2010|16:43] C:\Programme\Mozilla Firefox
   [03.01.2010|13:01] C:\Programme\MSBuild
   [03.12.2008|22:25] C:\Programme\MSN
   [02.03.2005|20:38] C:\Programme\MSN Gaming Zone
   [02.01.2010|22:18] C:\Programme\MSXML 4.0
   [03.01.2010|12:59] C:\Programme\MSXML 6.0
   [02.03.2005|20:39] C:\Programme\NetMeeting
   [02.03.2005|20:38] C:\Programme\Online Services
   [02.03.2005|20:40] C:\Programme\Online-Dienste
   [02.01.2010|22:19] C:\Programme\Outlook Express
   [13.08.2005|10:10] C:\Programme\PhotoRecord
   [02.03.2005|20:47] C:\Programme\Realtek Sound Manager
   [03.01.2010|13:01] C:\Programme\Reference Assemblies
   [27.01.2006|16:50] C:\Programme\SAMSUNG
   [21.01.2009|13:31] C:\Programme\Sun
   [10.02.2009|17:53] C:\Programme\T-DSL SpeedManager
   [06.04.2008|13:04] C:\Programme\Total Video Converter
   [02.01.2010|21:42] C:\Programme\trend micro
   [03.03.2005|14:56] C:\Programme\Ubi Soft
   [23.03.2007|19:26] C:\Programme\UltraVNC
   [02.03.2005|20:44] C:\Programme\Uninstall Information
   [02.03.2005|20:48] C:\Programme\VIA
   [27.01.2006|17:33] C:\Programme\VIA Technologies, Inc
   [03.01.2010|11:12] C:\Programme\Windows Media Player
   [02.03.2005|20:38] C:\Programme\Windows NT
   [02.03.2005|20:40] C:\Programme\WindowsUpdate
   [11.09.2008|19:21] C:\Programme\WISO
   [02.03.2005|20:41] C:\Programme\xerox
   [0|Datei(en)] C:\Programme\Bytes
   [64|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [02.03.2005|21:07] C:\Programme\Gemeinsame Dateien\ACD Systems
   [06.03.2005|13:29] C:\Programme\Gemeinsame Dateien\Adobe
   [02.03.2005|21:10] C:\Programme\Gemeinsame Dateien\Ahead
   [11.09.2008|19:21] C:\Programme\Gemeinsame Dateien\Buhl Data Service
   [02.03.2005|21:56] C:\Programme\Gemeinsame Dateien\Designer
   [02.03.2005|20:39] C:\Programme\Gemeinsame Dateien\Dienste
   [06.03.2005|18:54] C:\Programme\Gemeinsame Dateien\DirectX
   [12.12.2009|21:33] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
   [02.03.2005|21:29] C:\Programme\Gemeinsame Dateien\Hewlett-Packard
   [06.03.2005|13:21] C:\Programme\Gemeinsame Dateien\HP
   [12.01.2010|18:49] C:\Programme\Gemeinsame Dateien\InstallShield
   [01.04.2008|13:58] C:\Programme\Gemeinsame Dateien\Java
   [24.11.2009|18:33] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [02.03.2005|20:39] C:\Programme\Gemeinsame Dateien\MSSoap
   [02.03.2005|20:33] C:\Programme\Gemeinsame Dateien\ODBC
   [15.01.2010|22:30] C:\Programme\Gemeinsame Dateien\PocketSoft
   [02.03.2005|20:33] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [22.03.2007|19:09] C:\Programme\Gemeinsame Dateien\System
   [06.03.2005|15:38] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [21|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 38 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2010-01-17 16:57:43
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen


   Kein anderen Infektionen gefunden !

   [F:10][D:1]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
   [F:6][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies
   [F:70][D:8]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 17.01.2010|16:58 - Option : [1]

   --------------------\\  Scan beendet um 16:58:15

Ist der Trojaner jetzt weg ??

Vielen Dank !!!!

cosinus · 17.01.2010, 20:42

Sieht nicht schlecht aus.

C:\WINDOWS\system32\caili.exe

Diese Datei bitte mal sicherheitshalber bei Virustotal.com auswerten lassen und Ergebnislink posten. Danach bitte nochmal GMER ausführen und Log posten.

tmp_killer · 24.01.2010, 17:30

Hallo !

Ich habe die erwähnte Datei an virustotal.de geschickt und GMER im "Abgesicherten Modus" ausgeführt.

Anbei die Logfiles

Code:

ATTFilter

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.50 	2010.01.24 	-
AhnLab-V3 	5.0.0.2 	2010.01.23 	-
AntiVir 	7.9.1.146 	2010.01.22 	-
Antiy-AVL 	2.0.3.7 	2010.01.22 	-
Authentium 	5.2.0.5 	2010.01.23 	-
Avast 	4.8.1351.0 	2010.01.24 	-
AVG 	9.0.0.730 	2010.01.24 	-
BitDefender 	7.2 	2010.01.24 	-
CAT-QuickHeal 	10.00 	2010.01.22 	-
ClamAV 	0.94.1 	2010.01.22 	-
Comodo 	3693 	2010.01.24 	-
DrWeb 	5.0.1.12222 	2010.01.24 	-
eSafe 	7.0.17.0 	2010.01.21 	-
eTrust-Vet 	35.2.7255 	2010.01.22 	-
F-Prot 	4.5.1.85 	2010.01.23 	-
F-Secure 	9.0.15370.0 	2010.01.24 	-
Fortinet 	4.0.14.0 	2010.01.24 	-
GData 	19 	2010.01.24 	-
Ikarus 	T3.1.1.80.0 	2010.01.24 	-
Jiangmin 	13.0.900 	2010.01.24 	-
K7AntiVirus 	7.10.952 	2010.01.22 	-
Kaspersky 	7.0.0.125 	2010.01.24 	-
McAfee 	5870 	2010.01.23 	-
McAfee+Artemis 	5870 	2010.01.23 	-
McAfee-GW-Edition 	6.8.5 	2010.01.24 	-
Microsoft 	1.5405 	2010.01.24 	-
NOD32 	4801 	2010.01.24 	-
Norman 	6.04.03 	2010.01.24 	-
nProtect 	2009.1.8.0 	2010.01.24 	-
Panda 	10.0.2.2 	2010.01.24 	-
PCTools 	7.0.3.5 	2010.01.24 	-
Rising 	22.31.06.04 	2010.01.24 	-
Sophos 	4.50.0 	2010.01.24 	-
Sunbelt 	3.2.1858.2 	2010.01.23 	-
Symantec 	20091.2.0.41 	2010.01.24 	-
TheHacker 	6.5.0.9.160 	2010.01.24 	-
TrendMicro 	9.120.0.1004 	2010.01.24 	-
VBA32 	3.12.12.1 	2010.01.23 	-
ViRobot 	2010.1.23.2152 	2010.01.23 	-
VirusBuster 	5.0.21.0 	2010.01.23 	-
weitere Informationen
File size: 32768 bytes
MD5   : ec7540bde35e567c32ac68aa70f0946c
SHA1  : 0a26b76802b65646dddc4bf6bce8c8eae9545571
SHA256: 9a767595c9c997a113077ac472ffb17677fb3bb5ec62a68aee9477eb4aa19bb2
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401E97
timedatestamp.....: 0x3E5B458E (Tue Feb 25 11:29:34 2003)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4B5C 0x5000 6.41 e503c3332ef11e75964202bd26d1d100
.rdata 0x6000 0x970 0x1000 3.69 278b3dbbb9a92ef09eb31822d3077244
.data 0x7000 0x2138 0x1000 2.01 99e2bc16f6a670af5298a6806cf679d9

( 0 imports )


( 0 exports )
TrID  : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 768:lfdKacJPuH0Wu9BwthXsycxqgZNZ9rIo:lfdKacJPuHHthXs40ZSo
PEiD  : Armadillo v1.71
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ec7540bde35e567c32ac68aa70f0946c
RDS   : NSRL Reference Data Set
-






GMER 1.0.15.15281 - http://www.gmer.net
Autostart scan 2010-01-24 17:27:37
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@BootExecute = autocheck autochk * /*file not found*/

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\SYSTEM\CurrentControlSet\Control\WOW@cmdline = %SystemRoot%\system32\ntvdm.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon >>>
@UserinitC:\WINDOWS\system32\userinit.exe, = C:\WINDOWS\system32\userinit.exe,
@ShellExplorer.exe = Explorer.exe
@System = 
@UIHostlogonui.exe = logonui.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
crypt32chain@DLLName = crypt32.dll
cryptnet@DLLName = cryptnet.dll
cscdll@DLLName = cscdll.dll
ScCertProp@DLLName = wlnotify.dll
Schedule@DLLName = wlnotify.dll
sclgntfy@DLLName = sclgntfy.dll
SensLogn@DLLName = WlNotify.dll
termsrv@DLLName = wlnotify.dll
wlballoon@DLLName = wlnotify.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AntiVirSchedulerService@ = "C:\Programme\Avira\AntiVir Desktop\sched.exe"
AntiVirService@ = "C:\Programme\Avira\AntiVir Desktop\avguard.exe"
AudioSrv@ = %SystemRoot%\System32\svchost.exe -k netsvcs
Bonjour Service@ = C:\Programme\Bonjour\mDNSResponder.exe
CAILI@ = C:\WINDOWS\system32\caili.exe
CryptSvc@ = %SystemRoot%\system32\svchost.exe -k netsvcs
DcomLaunch@ = %SystemRoot%\system32\svchost -k DcomLaunch
dmserver@ = %SystemRoot%\System32\svchost.exe -k netsvcs
Dnscache@ = %SystemRoot%\system32\svchost.exe -k NetworkService
ERSvc@ = %SystemRoot%\System32\svchost.exe -k netsvcs
Eventlog@ = %SystemRoot%\system32\services.exe
GEARSecurity@ = %SystemRoot%\System32\GEARSec.exe
helpsvc@ = %SystemRoot%\System32\svchost.exe -k netsvcs
JavaQuickStarterService@ = "E:\Java\bin\jqs.exe" -service -config "E:\Java\lib\deploy\jqs\jqs.conf"
lanmanworkstation@ = %SystemRoot%\system32\svchost.exe -k netsvcs
LmHosts@ = %SystemRoot%\system32\svchost.exe -k LocalService
N360@ = "C:\Programme\Norton 360\Engine\3.5.2.11\ccSvcHst.exe" /s "N360" /m "C:\Programme\Norton 360\Engine\3.5.2.11\diMaster.dll" /prefetch:1
NVSvc@ = %SystemRoot%\system32\nvsvc32.exe
PlugPlay@ = %SystemRoot%\system32\services.exe
PolicyAgent@ = %SystemRoot%\system32\lsass.exe
ProtectedStorage@ = %SystemRoot%\system32\lsass.exe
RemoteRegistry@ = %SystemRoot%\system32\svchost.exe -k LocalService
RpcSs@ = %SystemRoot%\system32\svchost -k rpcss
SamSs@ = %SystemRoot%\system32\lsass.exe
Schedule@ = %SystemRoot%\System32\svchost.exe -k netsvcs
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
seclogon@ = %SystemRoot%\System32\svchost.exe -k netsvcs
SENS@ = %SystemRoot%\system32\svchost.exe -k netsvcs
SharedAccess@ = %SystemRoot%\System32\svchost.exe -k netsvcs
ShellHWDetection@ = %SystemRoot%\System32\svchost.exe -k netsvcs
Spooler@ = %SystemRoot%\system32\spoolsv.exe
srservice@ = %SystemRoot%\system32\svchost.exe -k netsvcs
stisvc@ = %SystemRoot%\system32\svchost.exe -k imgsvc
Themes@ = %SystemRoot%\System32\svchost.exe -k netsvcs
TrkWks@ = %SystemRoot%\system32\svchost.exe -k netsvcs
V2i Protector@ = E:\WinProgs\DriveImage7\Agent\PQV2iSvc.exe
WebClient@ = %SystemRoot%\system32\svchost.exe -k LocalService
winmgmt@ = %systemroot%\system32\svchost.exe -k netsvcs
wscsvc@ = %SystemRoot%\System32\svchost.exe -k netsvcs
wuauserv@ = %systemroot%\system32\svchost.exe -k netsvcs
WZCSVC@ = %SystemRoot%\System32\svchost.exe -k netsvcs

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@SoundManSOUNDMAN.EXE = SOUNDMAN.EXE
@Easy-PrintToolBoxC:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon = C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
@SunJavaUpdateSched"E:\Java\bin\jusched.exe" = "E:\Java\bin\jusched.exe"
@T-DSL SpeedMgr"C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" = "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
@avgnt"C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min = "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@swg"C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad >>>
@PostBootReminder%SystemRoot%\system32\SHELL32.dll = %SystemRoot%\system32\SHELL32.dll
@CDBurn%SystemRoot%\system32\SHELL32.dll = %SystemRoot%\system32\SHELL32.dll
@WebCheck%Systemroot%\system32\webcheck.dll = %Systemroot%\system32\webcheck.dll
@SysTray%systemroot%\system32\stobject.dll = %systemroot%\system32\stobject.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler >>>
@{438755C2-A8BA-11D1-B96B-00A0C90312E1}%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{8C7461EF-2B13-11d2-BE35-3078302C2030}%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll

HKLM\Software\Classes\Folder\shell\open\command@ = %SystemRoot%\Explorer.exe /idlist,%I,%L

HKLM\Software\Classes\Folder\shell\explore\command@ = %SystemRoot%\Explorer.exe /e,/idlist,%I,%L

HKLM\Software\Classes\ >>>
.exe@ = "%1" %*
.com@ = "%1" %*
.cmd@ = "%1" %*
.bat@ = "%1" %*
.pif@ = "%1" %*
.scr@ = "%1" /S
.hta@ = C:\WINDOWS\system32\mshta.exe "%1" %*

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{AEB6717E-7E19-11d0-97EE-00C04FD91972} = shell32.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{00022613-0000-0000-C000-000000000046} /*Eigenschaften für Multimediadatei*/mmsys.cpl = mmsys.cpl
@{176d6597-26d3-11d1-b350-080036a75b03} /*ICM-Scannerverwaltung*/icmui.dll = icmui.dll
@{1F2E5C40-9550-11CE-99D2-00AA006E086C} /*NTFS-Sicherheit*/rshx32.dll = rshx32.dll
@{3EA48300-8CF6-101B-84FB-666CCB9BCD32} /*OLE-Eigenschaftenseite für Dokumente*/docprop.dll = docprop.dll
@{40dd6e20-7c17-11ce-a804-00aa003ca9f6} /*Shellerweiterungen für Freigaben*/ntshrui.dll = ntshrui.dll
@{41E300E0-78B6-11ce-849B-444553540000} /*PlusPack CPL Extension*/%SystemRoot%\system32\themeui.dll = %SystemRoot%\system32\themeui.dll
@{42071712-76d4-11d1-8b24-00a0c9068ff3} /*CPL-Erweiterung für Grafikkarten*/deskadp.dll = deskadp.dll
@{42071713-76d4-11d1-8b24-00a0c9068ff3} /*CPL-Erweiterung für Bildschirme*/deskmon.dll = deskmon.dll
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*CPL-Erweiterung für Anzeigeverschiebung*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{4E40F770-369C-11d0-8922-00A024AB2DBB} /*DS-Sicherheit*/dssec.dll = dssec.dll
@{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8} /*Kompatibilitätsseite*/SlayerXP.dll = SlayerXP.dll
@{56117100-C0CD-101B-81E2-00AA004AE837} /*Shell-Datenauszughandler*/shscrap.dll = shscrap.dll
@{59099400-57FF-11CE-BD94-0020AF85B590} /*Erweiterung für Datenträgerkopien*/diskcopy.dll = diskcopy.dll
@{59be4990-f85c-11ce-aff7-00aa003ca9f6} /*Shellerweiterungen für Microsoft Windows-Netzwerkobjekte*/ntlanui2.dll = ntlanui2.dll
@{5DB2625A-54DF-11D0-B6C4-0800091AA605} /*ICM-Monitorverwaltung*/%SystemRoot%\System32\icmui.dll = %SystemRoot%\System32\icmui.dll
@{675F097E-4C4D-11D0-B6C1-0800091AA605} /*ICM-Druckerverwaltung*/%SystemRoot%\system32\icmui.dll = %SystemRoot%\system32\icmui.dll
@{764BF0E1-F219-11ce-972D-00AA00A14F56} /*Shellerweiterungen für die Dateikomprimierung*/(null) = 
@{77597368-7b15-11d0-a0c2-080036af3f03} /*Shellerweiterung für Webdrucker*/printui.dll = printui.dll
@{7988B573-EC89-11cf-9C00-00AA00A14F56} /*Disk Quota UI*/dskquoui.dll = dskquoui.dll
@{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} /*Kontextmenü für die Verschlüsselung*/(null) = 
@{85BBD920-42A0-1069-A2E4-08002B30309D} /*Aktenkoffer*/syncui.dll = syncui.dll
@{88895560-9AA2-1069-930E-00AA0030EBC8} /*Erweiterung für HyperTerminal-Icons*/C:\WINDOWS\system32\hticons.dll = C:\WINDOWS\system32\hticons.dll
@{BD84B380-8CA2-1069-AB1D-08000948F534} /*Schriftarten*/fontext.dll = fontext.dll
@{DBCE2480-C732-101B-BE72-BA78E9AD5B27} /*ICC-Profil*/%SystemRoot%\system32\icmui.dll = %SystemRoot%\system32\icmui.dll
@{F37C5810-4D3F-11d0-B4BF-00AA00BBB723} /*Druckersicherheit*/rshx32.dll = rshx32.dll
@{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} /*Shellerweiterungen für Freigaben*/ntshrui.dll = ntshrui.dll
@{f92e8c40-3d33-11d2-b1aa-080036a75b03} /*Display TroubleShoot CPL Extension*/deskperf.dll = deskperf.dll
@{7444C717-39BF-11D1-8CD9-00C04FC29D45} /*Krypto-PKO-Erweiterung*/C:\WINDOWS\system32\cryptext.dll = C:\WINDOWS\system32\cryptext.dll
@{7444C719-39BF-11D1-8CD9-00C04FC29D45} /*Krypto-Sign-Erweiterung*/C:\WINDOWS\system32\cryptext.dll = C:\WINDOWS\system32\cryptext.dll
@{7007ACC7-3202-11D1-AAD2-00805FC1270E} /*Netzwerkverbindungen*/C:\WINDOWS\system32\NETSHELL.dll = C:\WINDOWS\system32\NETSHELL.dll
@{992CFFA0-F557-101A-88EC-00DD010CCC48} /*Netzwerkverbindungen*/C:\WINDOWS\system32\NETSHELL.dll = C:\WINDOWS\system32\NETSHELL.dll
@{E211B736-43FD-11D1-9EFB-0000F8757FCD} /*Scanner und Kameras*/wiashext.dll = wiashext.dll
@{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD} /*Scanner und Kameras*/wiashext.dll = wiashext.dll
@{905667aa-acd6-11d2-8080-00805f6596d2} /*Scanner und Kameras*/wiashext.dll = wiashext.dll
@{3F953603-1008-4f6e-A73A-04AAC7A992F1} /*Scanner und Kameras*/wiashext.dll = wiashext.dll
@{83bbcbf3-b28a-4919-a5aa-73027445d672} /*Scanner und Kameras*/wiashext.dll = wiashext.dll
@{F0152790-D56E-4445-850E-4F3117DB740C} /*Remote Sessions CPL Extension*/C:\WINDOWS\system32\remotepg.dll = C:\WINDOWS\system32\remotepg.dll
@{60254CA5-953B-11CF-8C96-00AA00B8708C} /*Shellerweiterungen für Windows Script Host*/C:\WINDOWS\system32\wshext.dll = C:\WINDOWS\system32\wshext.dll
@{2206CDB2-19C1-11D1-89E0-00C04FD7A829} /*Microsoft Datenverknüpfung*/C:\Programme\Gemeinsame Dateien\System\Ole DB\oledb32.dll = C:\Programme\Gemeinsame Dateien\System\Ole DB\oledb32.dll
@{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF} /*Tasks Folder Icon Handler*/C:\WINDOWS\system32\mstask.dll = C:\WINDOWS\system32\mstask.dll
@{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF} /*Tasks Folder Shell Extension*/C:\WINDOWS\system32\mstask.dll = C:\WINDOWS\system32\mstask.dll
@{D6277990-4C6A-11CF-8D87-00AA0060F5BF} /*Geplante Tasks*/C:\WINDOWS\system32\mstask.dll = C:\WINDOWS\system32\mstask.dll
@{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0} /*Set Program Access and Defaults*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Auto Update Property Sheet Extension*/C:\WINDOWS\system32\wuaucpl.cpl = C:\WINDOWS\system32\wuaucpl.cpl
@{0DF44EAA-FF21-4412-828E-260A8728E7F1} /*Taskleiste und Startmenü*/(null) = 
@{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0} /*Suchen*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0} /*Hilfe und Support*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0} /*Hilfe und Support*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0} /*Ausführen...*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0} /*Internet*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0} /*E-Mail*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{D20EA4E1-3957-11d2-A40B-0C5020524152} /*Schriftarten*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{D20EA4E1-3957-11d2-A40B-0C5020524153} /*Verwaltung*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\system32\twext.dll = C:\WINDOWS\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\system32\twext.dll = C:\WINDOWS\system32\twext.dll
@{875CB1A1-0F29-45de-A1AE-CFB4950D0B78} /*Audio Media Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{40C3D757-D6E4-4b49-BB41-0E5BBEA28817} /*Video Media Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{E4B29F9D-D390-480b-92FD-7DDB47101D71} /*Wav Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{87D62D94-71B3-4b9a-9489-5FE6850DC73E} /*Avi Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{A6FD9E45-6E44-43f9-8644-08598F5A74D9} /*Midi Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{c5a40261-cd64-4ccf-84cb-c394da41d590} /*Video Thumbnail Extractor*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{5E6AB780-7743-11CF-A12B-00AA004AE837} /*Microsoft Internet Toolbar*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{22BF0C20-6DA7-11D0-B373-00A0C9034938} /*Download Status*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{91EA3F8B-C99B-11d0-9815-00C04FD91972} /*Augmented Shell Folder*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{6413BA2C-B461-11d1-A18A-080036B11A03} /*Augmented Shell Folder 2*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{F61FFEC1-754F-11d0-80CA-00AA005B4383} /*BandProxy*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{7BA4C742-9E81-11CF-99D3-00AA004AE837} /*Microsoft BrowserBand*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{30D02401-6A81-11d0-8274-00C04FD5AE38} /*IE Search Band*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{169A0691-8DF9-11d1-A1C4-00C04FD75D13} /*In-pane search*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{07798131-AF23-11d1-9111-00A0C98BA67D} /*Web Search*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{AF4F6510-F982-11d0-8595-00AA004CD6D8} /*Registry Tree Options Utility*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{01E04581-4EEE-11d0-BFE9-00AA005B4383} /*&Adresse*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{A08C11D2-A228-11d0-825B-00AA005B4383} /*Address EditBox*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{00BB2763-6A77-11D0-A535-00C04FD7D062} /*Microsoft AutoComplete*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{7376D660-C583-11d0-A3A5-00C04FD706EC} /*TridentImageExtractor*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{6756A641-DE71-11d0-831B-00AA005B4383} /*MRU AutoComplete List*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A} /*Custom MRU AutoCompleted List*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{7e653215-fa25-46bd-a339-34a2790f3cb7} /*Accessible*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{acf35015-526e-4230-9596-becbe19f0ac9} /*Track Popup Bar*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{00BB2764-6A77-11D0-A535-00C04FD7D062} /*Microsoft History AutoComplete List*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{03C036F1-A186-11D0-824A-00AA005B4383} /*Microsoft Shell Folder AutoComplete List*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{00BB2765-6A77-11D0-A535-00C04FD7D062} /*Microsoft Multiple AutoComplete List Container*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{ECD4FC4E-521C-11D0-B792-00A0C90312E1} /*Shell Band Site Menu*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{3CCF8A41-5C85-11d0-9796-00AA00B90ADF} /*Shell DeskBarApp*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{ECD4FC4C-521C-11D0-B792-00A0C90312E1} /*Shell DeskBar*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{ECD4FC4D-521C-11D0-B792-00A0C90312E1} /*Shell Rebar BandSite*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{DD313E04-FEFF-11d1-8ECD-0000F87A470C} /*User Assist*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11} /*Global Folder Settings*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{EFA24E61-B078-11d0-89E4-00C04FC9E26E} /*Favorites Band*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{0A89A860-D7B1-11CE-8350-444553540000} /*Shell Automation Inproc Service*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} /*Shell DocObject Viewer*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{A5E46E3A-8849-11D1-9D8C-00C04FC99D61} /*Microsoft Browser Architecture*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{FBF23B40-E3F0-101B-8488-00AA003E56F8} /*InternetShortcut*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3C374A40-BAE4-11CF-BF7D-00AA006946EE} /*Microsoft Url History Service*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FF393560-C2A7-11CF-BFF4-444553540000} /*History*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{7BD29E00-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{7BD29E01-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{CFBFAE00-17A6-11D0-99CB-00C04FD64497} /*Microsoft Url Search Hook*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC} /*IE4 Suite-Begrüßungsbildschirm*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{67EA19A0-CCEF-11d0-8024-00C04FD75D13} /*CDF Extension Copy Hook*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{131A6951-7F78-11D0-A979-00C04FD705A2} /*ISFBand OC*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{9461b922-3c5a-11d2-bf8b-00c04fb93661} /*Search Assistant OC*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} /*The Internet*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{871C5380-42A0-1069-A2EA-08002B30309D} /*Internet Name Space*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{EFA24E64-B078-11d0-89E4-00C04FC9E26E} /*Explorer-Band*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE} /*Sendmail service*/C:\WINDOWS\system32\sendmail.dll = C:\WINDOWS\system32\sendmail.dll
@{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE} /*Sendmail service*/C:\WINDOWS\system32\sendmail.dll = C:\WINDOWS\system32\sendmail.dll
@{88C6C381-2E85-11D0-94DE-444553540000} /*ActiveX Cache Folder*/C:\WINDOWS\system32\occache.dll = C:\WINDOWS\system32\occache.dll
@{E6FB5E20-DE35-11CF-9C87-00AA005127ED} /*WebCheck*/%Systemroot%\system32\webcheck.dll = %Systemroot%\system32\webcheck.dll
@{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE} /*Subscription Mgr*/C:\WINDOWS\system32\webcheck.dll = C:\WINDOWS\system32\webcheck.dll
@{F5175861-2688-11d0-9C5E-00AA00A45957} /*Subscription Folder*/C:\WINDOWS\system32\webcheck.dll = C:\WINDOWS\system32\webcheck.dll
@{08165EA0-E946-11CF-9C87-00AA005127ED} /*WebCheckWebCrawler*/C:\WINDOWS\system32\webcheck.dll = C:\WINDOWS\system32\webcheck.dll
@{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB} /*WebCheckChannelAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7} /*TrayAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{7D559C10-9FE9-11d0-93F7-00AA0059CE02} /*Code Download Agent*/C:\WINDOWS\system32\webcheck.dll = C:\WINDOWS\system32\webcheck.dll
@{E6CC6978-6B6E-11D0-BECA-00C04FD940BE} /*ConnectionAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{D8BD2030-6FC9-11D0-864F-00AA006809D9} /*PostAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB} /*WebCheck SyncMgr Handler*/C:\WINDOWS\system32\webcheck.dll = C:\WINDOWS\system32\webcheck.dll
@{352EC2B7-8B9A-11D1-B8AE-006008059382} /*Shell Application Manager*/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
@{0B124F8F-91F0-11D1-B8B5-006008059382} /*Installed Apps Enumerator*/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
@{CFCCC7A0-A282-11D1-9082-006008059382} /*Darwin App Publisher*/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
@{e84fda7c-1d6a-45f6-b725-cb260c236066} /*Shell Image Verbs*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
@{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178} /*Shell Image Data Factory*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) = 
@{3F30C968-480A-4C6C-862D-EFC0897BB84B} /*GDI+ Dateiminiaturansicht-Extrahierungsprogramm*/C:\WINDOWS\system32\shimgvw.dll = C:\WINDOWS\system32\shimgvw.dll
@{9DBD2C50-62AD-11d0-B806-00C04FD706EC} /*Zusammenfassungs-Miniaturansichthandler (DOCFILES)*/C:\WINDOWS\system32\shimgvw.dll = C:\WINDOWS\system32\shimgvw.dll
@{EAB841A0-9550-11cf-8C16-00805F1408F3} /*HTML-Extrahierungsprogramm*/C:\WINDOWS\system32\shimgvw.dll = C:\WINDOWS\system32\shimgvw.dll
@{eb9b1153-3b57-4e68-959a-a3266bc3d7fe} /*Shell Image Property Handler*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
@{CC6EEFFB-43F6-46c5-9619-51D571967F7D} /*Webpublishing-Assistent*/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{add36aa8-751a-4579-a266-d66f5202ccbb} /*Bestellung von Abzügen über das Internet*/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{6b33163c-76a5-4b6c-bf21-45de9cd503a1} /*Shellobjekt des Webpublishing-Assistenten*/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{58f1f272-9240-4f51-b6d4-fd63d1618591} /*Passport-Assistent*/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{7A9D77BD-5403-11d2-8785-2E0420524153} /*Benutzerkonten*/(null) = 
@{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} /*ZIP-komprimierter Ordner*/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
@{BD472F60-27FA-11cf-B8B4-444553540000} /*Compressed (zipped) Folder Right Drag Handler*/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
@{888DCA60-FC0A-11CF-8F0F-00C04FD7D062} /*Compressed (zipped) Folder SendTo Target*/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\system32\extmgr.dll = C:\WINDOWS\system32\extmgr.dll
@{63da6ec0-2e98-11cf-8d82-444553540000} /*FTP Folders Webview*/C:\WINDOWS\system32\msieftp.dll = C:\WINDOWS\system32\msieftp.dll
@{883373C3-BF89-11D1-BE35-080036B11A03} /*Microsoft DocProp Shell Ext*/C:\WINDOWS\system32\docprop2.dll = C:\WINDOWS\system32\docprop2.dll
@{A9CF0EAE-901A-4739-A481-E35B73E47F6D} /*Microsoft DocProp Inplace Edit Box Control*/C:\WINDOWS\system32\docprop2.dll = C:\WINDOWS\system32\docprop2.dll
@{8EE97210-FD1F-4B19-91DA-67914005F020} /*Microsoft DocProp Inplace ML Edit Box Control*/C:\WINDOWS\system32\docprop2.dll = C:\WINDOWS\system32\docprop2.dll
@{0EEA25CC-4362-4A12-850B-86EE61B0D3EB} /*Microsoft DocProp Inplace Droplist Combo Control*/C:\WINDOWS\system32\docprop2.dll = C:\WINDOWS\system32\docprop2.dll
@{6A205B57-2567-4A2C-B881-F787FAB579A3} /*Microsoft DocProp Inplace Calendar Control*/C:\WINDOWS\system32\docprop2.dll = C:\WINDOWS\system32\docprop2.dll
@{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33} /*Microsoft DocProp Inplace Time Control*/C:\WINDOWS\system32\docprop2.dll = C:\WINDOWS\system32\docprop2.dll
@{8A23E65E-31C2-11d0-891C-00A024AB2DBB} /*Directory Query UI*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{9E51E0D0-6E0F-11d2-9601-00C04FA31A86} /*Shell properties for a DS object*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{163FDC20-2ABC-11d0-88F0-00A024AB2DBB} /*Directory Object Find*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{F020E586-5264-11d1-A532-0000F8757D7E} /*Directory Start/Search Find*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{0D45D530-764B-11d0-A1CA-00AA00C16E65} /*Directory Property UI*/%SystemRoot%\system32\dsuiext.dll = %SystemRoot%\system32\dsuiext.dll
@{62AE1F9A-126A-11D0-A14B-0800361B1103} /*Directory Context Menu Verbs*/%SystemRoot%\system32\dsuiext.dll = %SystemRoot%\system32\dsuiext.dll
@{ECF03A33-103D-11d2-854D-006008059367} /*MyDocs Copy Hook*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
@{ECF03A32-103D-11d2-854D-006008059367} /*MyDocs Drop Target*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
@{4a7ded0a-ad25-11d0-98a8-0800361b1103} /*MyDocs Properties*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
@{750fdf0e-2a26-11d1-a3ea-080036587f03} /*Offline Files Menu*/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
@{10CFC467-4392-11d2-8DB4-00C04FA31A66} /*Offline Files Folder Options*/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
@{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E} /*Ordner 'Offlinedateien'*/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
@{143A62C8-C33B-11D1-84FE-00C04FA34A14} /*Microsoft Agent Character Property Sheet Handler*/C:\WINDOWS\msagent\agentpsh.dll = C:\WINDOWS\msagent\agentpsh.dll
@{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6} /*DfsShell*/C:\WINDOWS\system32\dfsshlex.dll = C:\WINDOWS\system32\dfsshlex.dll
@{60fd46de-f830-4894-a628-6fa81bc0190d} /*%DESC_PublishDropTarget%*/%SystemRoot%\system32\photowiz.dll = %SystemRoot%\system32\photowiz.dll
@{7A80E4A8-8005-11D2-BCF8-00C04F72C717} /*MMC Icon Handler*/%SystemRoot%\System32\mmcshext.dll = %SystemRoot%\System32\mmcshext.dll
@{0CD7A5C0-9F37-11CE-AE65-08002B2E1262} /*.CAB file viewer*/cabview.dll = cabview.dll
@{32714800-2E5F-11d0-8B85-00AA0044F941} /*&Nach Personen...*/C:\Programme\Outlook Express\wabfind.dll = C:\Programme\Outlook Express\wabfind.dll
@{640167b4-59b0-47a6-b335-a6b3c0695aea} /*Portable Media Devices*/%SystemRoot%\system32\audiodev.dll = %SystemRoot%\system32\audiodev.dll
@{cc86590a-b60a-48e6-996b-41d25ed39a1e} /*Portable Media Devices Menu*/%SystemRoot%\system32\audiodev.dll = %SystemRoot%\system32\audiodev.dll
@{8DD448E6-C188-4aed-AF92-44956194EB1F} /*Windows Media Player Play as Playlist Context Menu Handler*/C:\WINDOWS\system32\wmpshell.dll = C:\WINDOWS\system32\wmpshell.dll
@{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} /*Windows Media Player Burn Audio CD Context Menu Handler*/C:\WINDOWS\system32\wmpshell.dll = C:\WINDOWS\system32\wmpshell.dll
@{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} /*Windows Media Player Add to Playlist Context Menu Handler*/C:\WINDOWS\system32\wmpshell.dll = C:\WINDOWS\system32\wmpshell.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/E:\WinProgs\WinRar\rarext.dll = E:\WinProgs\WinRar\rarext.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Webordner*/C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/E:\WinProgs\Offixexp\Office10\msohev.dll = E:\WinProgs\Offixexp\Office10\msohev.dll
@{1D2680C9-0E2A-469d-B787-065558BC7D43} /*Fusion Cache*/C:\WINDOWS\system32\mscoree.dll = C:\WINDOWS\system32\mscoree.dll
@{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} /*TuneUp Shredder Shell Context Menu Extension*/"E:\WinProgs\FixItUtil\sdshelex.dll" = "E:\WinProgs\FixItUtil\sdshelex.dll"
@{D0FAC080-AE1A-11ce-8016-CE90976DC901} /*Picture Publisher Schnellansicht*/ppiv20.dll = ppiv20.dll
@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/C:\Programme\Avira\AntiVir Desktop\shlext.dll = C:\Programme\Avira\AntiVir Desktop\shlext.dll
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/E:\WinProgs\Offixexp\Office10\OLKFSTUB.DLL = E:\WinProgs\Offixexp\Office10\OLKFSTUB.DLL
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{07C45BB1-4A8C-4642-A1F5-237E7215FF66} /*IE Microsoft BrowserBand*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{11016101-E366-4D22-BC06-4ADA335C892B} /*IE History and Feeds Shell Data Source for Windows Search*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{1C1EDB47-CE22-4bbb-B608-77B48F83C823} /*IE Fade Task*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{205D7A97-F16D-4691-86EF-F3075DCCA57D} /*IE Menu Desk Bar*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{25336920-03f9-11cf-8fd0-00aa00686f13} /*HTML Document*/C:\WINDOWS\system32\mshtml.dll = C:\WINDOWS\system32\mshtml.dll
@{3028902F-6374-48b2-8DC6-9725E775B926} /*IE AutoComplete*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3050f3d9-98b5-11cf-bb82-00aa00bdce0b} /*MSHTML Document*/C:\WINDOWS\system32\mshtml.dll = C:\WINDOWS\system32\mshtml.dll
@{43886CD5-6529-41c4-A707-7B3C92C05E68} /*IE Navigation Bar*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{44C76ECD-F7FA-411c-9929-1B77BA77F524} /*IE Menu Site*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{4B78D326-D922-44f9-AF2A-07805C2A3560} /*IE Menu Band*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6038EF75-ABFC-4e59-AB6F-12D397F6568D} /*IE Microsoft History AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE} /*IE Tracking Shell Menu*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6CF48EF8-44CD-45d2-8832-A16EA016311B} /*IE IShellFolderBand*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{73CFD649-CD48-4fd8-A272-2070EA56526B} /*IE BandProxy*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{8856f961-340a-11d0-a96b-00c04fd705a2} /*Microsoft Web Browser*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{98FF6D4B-6387-4b0a-8FBD-C5C4BB17B4F8} /*IE MRU AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{9A096BB5-9DC3-4D1C-8526-C3CBF991EA4E} /*IE RSS Feeder Folder*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{9D958C62-3954-4b44-8FAB-C4670C1DB4C2} /*IE Microsoft Shell Folder AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{B31C5FAE-961F-415b-BAF0-E697A5178B94} /*IE Microsoft Multiple AutoComplete List Container*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{BFAD62EE-9D54-4b2a-BF3B-76F90697BD2A} /*IE Shell Rebar BandSite*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{E6EE9AAC-F76B-4947-8260-A9F136138E11} /*IE Shell Band Site Menu*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{F2CF5485-4E02-4f68-819C-B92DE9277049} /*&Links*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{F83DAC1C-9BB9-4f2b-B619-09819DA81B0E} /*IE Registry Tree Options Utility*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} /*IE User Assist*/(null) = 
@{FDE7673D-2E19-4145-8376-BBD58C4BC7BA} /*IE Custom MRU AutoCompleted List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{45670FA8-ED97-4F44-BC93-305082590BFB} /*Microsoft.XPS.Shell.Metadata.1*/%SystemRoot%\System32\XPSSHHDR.DLL = %SystemRoot%\System32\XPSSHHDR.DLL
@{44121072-A222-48f2-A58A-6D9AD51EBBE9} /*Microsoft.XPS.Shell.Thumbnail.1*/%SystemRoot%\System32\XPSSHHDR.DLL = %SystemRoot%\System32\XPSSHHDR.DLL
@{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} /*OpenOffice.org Column Handler*/"C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll" = "C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll"
@{087B3AE3-E237-4467-B8DB-5A38AB959AC9} /*OpenOffice.org Infotip Handler*/"C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll" = "C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll"
@{63542C48-9552-494A-84F7-73AA6A7C99C1} /*OpenOffice.org Property Sheet Handler*/"C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll" = "C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll"
@{3B092F0C-7696-40E3-A80F-68D74DA84210} /*OpenOffice.org Thumbnail Viewer*/"C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll" = "C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll"

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
BriefcaseMenu@{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
BUContextMenu@{F7CAA2A1-67A2-44BB-B20F-202FD8EB1DAB} = C:\Programme\Norton 360\Engine\3.5.2.11\buShell.dll
Offline Files@{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
Open With@{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
Open With EncryptionMenu@{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\Avira\AntiVir Desktop\shlext.dll
Symantec.Norton.Antivirus.IEContextMenu@{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} = "C:\Programme\Norton 360\Engine\3.5.2.11\NavShExt.dll"
TuneUp Shredder@{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "E:\WinProgs\FixItUtil\sdshelex.dll"
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\WinProgs\WinRar\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} = %SystemRoot%\system32\SHELL32.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
EncryptionMenu@{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
Offline Files@{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
Sharing@{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
TuneUp Shredder@{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "E:\WinProgs\FixItUtil\sdshelex.dll"
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\WinProgs\WinRar\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
BriefcaseMenu@{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
BUContextMenu@{F7CAA2A1-67A2-44BB-B20F-202FD8EB1DAB} = C:\Programme\Norton 360\Engine\3.5.2.11\buShell.dll
MBAMShlExt@{57CE581A-0CB6-4266-9CA0-19364C90A0B3} = C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\Avira\AntiVir Desktop\shlext.dll
Symantec.Norton.Antivirus.IEContextMenu@{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} = "C:\Programme\Norton 360\Engine\3.5.2.11\NavShExt.dll"
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\WinProgs\WinRar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} /*file not found*/ =  /*file not found*/
@{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}C:\Programme\Norton 360\Engine\3.5.2.11\coIEPlg.dll = C:\Programme\Norton 360\Engine\3.5.2.11\coIEPlg.dll
@{6A87B991-A31F-4130-AE72-6D0C294BF082} /*file not found*/ =  /*file not found*/
@{6D53EC84-6AAE-4787-AEEE-F4628F01010C}C:\Programme\Norton 360\Engine\3.5.2.11\IPSBHO.DLL = C:\Programme\Norton 360\Engine\3.5.2.11\IPSBHO.DLL
@{AA58ED58-01DD-4d91-8333-CF10577473F7} /*file not found*/ =  /*file not found*/
@{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} /*file not found*/ =  /*file not found*/
@{D48FF4B4-E68F-47D1-8E25-81A0F0EEB341}C:\WINDOWS\system32\ieconfig_1und1.dll = C:\WINDOWS\system32\ieconfig_1und1.dll
@{DBC80044-A445-435b-BC74-9C25C1C588A9} /*file not found*/ =  /*file not found*/
@{E7E6F031-17CE-4C07-BC86-EABFE594F69C} /*file not found*/ =  /*file not found*/

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\ssstars.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Start Pagehttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.web.de = http://www.web.de
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\ >>>
application/octet-stream@CLSID = mscoree.dll
application/x-complus@CLSID = mscoree.dll
application/x-msdownload@CLSID = mscoree.dll
Class Install Handler@CLSID = C:\WINDOWS\system32\urlmon.dll
deflate@CLSID = C:\WINDOWS\system32\urlmon.dll
gzip@CLSID = C:\WINDOWS\system32\urlmon.dll
lzdhtml@CLSID = C:\WINDOWS\system32\urlmon.dll
text/webviewhtml@CLSID = %SystemRoot%\system32\SHELL32.dll

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
about@CLSID = C:\WINDOWS\system32\mshtml.dll
cdl@CLSID = C:\WINDOWS\system32\urlmon.dll
cdo@CLSID = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
file@CLSID = C:\WINDOWS\system32\urlmon.dll
ftp@CLSID = C:\WINDOWS\system32\urlmon.dll
gopher@CLSID = C:\WINDOWS\system32\urlmon.dll
http@CLSID = C:\WINDOWS\system32\urlmon.dll
https@CLSID = C:\WINDOWS\system32\urlmon.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
javascript@CLSID = C:\WINDOWS\system32\mshtml.dll
local@CLSID = C:\WINDOWS\system32\urlmon.dll
mailto@CLSID = C:\WINDOWS\system32\mshtml.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
mk@CLSID = C:\WINDOWS\system32\urlmon.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
mso-offdap@CLSID = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
res@CLSID = C:\WINDOWS\system32\mshtml.dll
symres@CLSID = C:\Programme\Norton 360\Engine\3.5.2.11\coIEPlg.dll
sysimage@CLSID = %SystemRoot%\system32\mshtml.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
vbscript@CLSID = C:\WINDOWS\system32\mshtml.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters@Domain = 

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E92422D0-7E6D-4FBA-89E8-2982D4F6E838} /*Drahtlose Netzwerkverbindung 2*/ >>>
@IPAddress192.168.2.100 = 192.168.2.100
@NameServer192.168.2.1 = 192.168.2.1
@DefaultGateway192.168.2.1 = 192.168.2.1
@Domain = 

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ >>>
000000000001@LibraryPath = %SystemRoot%\System32\mswsock.dll
000000000002@LibraryPath = %SystemRoot%\System32\winrnr.dll
000000000003@LibraryPath = %SystemRoot%\System32\mswsock.dll
000000000004@LibraryPath = C:\Programme\Bonjour\mdnsNSP.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000002@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000003@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000004@PackedCatalogItem = %SystemRoot%\system32\rsvpsp.dll
000000000005@PackedCatalogItem = %SystemRoot%\system32\rsvpsp.dll
000000000006@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000007@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000008@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000009@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000010@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000011@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000012@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000013@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000014@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000015@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000016@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000017@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart >>>
Cyber-shot Viewer-Medien-Prüfung.lnk = Cyber-shot Viewer-Medien-Prüfung.lnk
Reboot.exe = Reboot.exe

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart >>>
Adobe Reader - Schnellstart.lnk = Adobe Reader - Schnellstart.lnk
HotKey Driver.lnk = HotKey Driver.lnk
WISO Urteilsmonitor.lnk = WISO Urteilsmonitor.lnk

---- EOF - GMER 1.0.15 ----

Ich denke mal, dass der Trojaner jetzt draussen ist.

Vielen Dank !!

cosinus · 24.01.2010, 19:34

Bist Du sicher, dass Du GMER nach Anleitung genau ausgeführt hast?

Das Log sieht anders aus, als hättest Du nur die Registry durchsuchen lassen.

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

17.01.2010, 20:42	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Dldr.Gadja.A.2 oder Trojan.Dropper / mit Logfiles Sieht nicht schlecht aus. C:\WINDOWS\system32\caili.exe Diese Datei bitte mal sicherheitshalber bei Virustotal.com auswerten lassen und Ergebnislink posten. Danach bitte nochmal GMER ausführen und Log posten. __________________ Logfiles bitte immer in CODE-Tags posten

Dldr.Gadja.A.2 oder Trojan.Dropper / mit Logfiles

Log-Analyse und Auswertung: Dldr.Gadja.A.2 oder Trojan.Dropper / mit Logfiles