Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden

janis-h · 04.04.2010, 12:17

Hier erstmal das Malwarebytes:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3952

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

04.04.2010 13:15:49
mbam-log-2010-04-04 (13-15-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 126308
Laufzeit: 6 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\d3dsztc.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers\sysaxd.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Temp\IELOGIN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Temp\IEPASS.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\familie\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\familie\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\familie\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

janis-h · 04.04.2010, 14:33

Hier der antispy log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/04/2010 at 03:25 PM

Application Version : 4.35.1002

Core Rules Database Version : 4767
Trace Rules Database Version: 2579

Scan type : Complete Scan
Total Scan Time : 01:58:36

Memory items scanned : 625
Memory threats detected : 0
Registry items scanned : 5759
Registry threats detected : 0
File items scanned : 122965
File threats detected : 36

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@serving-sys[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@mediaplex[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@atdmt[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@doubleclick[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@adtech[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@bluestreak[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@track.adform[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@advertising[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@cgi-bin[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@ad.adnet[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@smartadserver[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@spylog[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@unitymedia[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@ads.heias[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@apmebf[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@html[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@ak[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@atwola[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@ad.adition[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@zanox[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@tracking.mindshare[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@list[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@ads.spieletipps[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Gastkonto\Cookies\gastkonto@tracking.quisma[2].txt

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{AFB5FCED-6CA3-4A52-A684-C71303A074C3}\RP143\A0062119.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{AFB5FCED-6CA3-4A52-A684-C71303A074C3}\RP143\A0062120.DLL

cosinus · 05.04.2010, 12:29

Mach bitte einen Vollscan mit Malwarebytes. Signaturen davor wieder updaten.

janis-h · 15.12.2010, 15:02

Hallo, ich bin es schon wieder.
Habe einen neuen virus.
wie kann ich nochmal einen ne uen Thread öffnen?

lg, brauche dringend hilfe.

cosinus · 15.12.2010, 15:20

Zitat:

Habe einen neuen virus.
wie kann ich nochmal einen ne uen Thread öffnen?

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

janis-h · 15.12.2010, 17:56

Ok.

Also, habe einen T/R.Shutdowner.fft.
Sitze gerade an meinem anderen pc, da ich angst habe das der virus wenn ich am laptop dranhock immer weiter rumzerstört.

Habe den Virus durch Antivir entdeckt, und habe bemerkt, das wenn ich etwas google, dann den link anklicken will, wurde ich am anfang auf eine komplett andere seite geschickt, die jedoch von meiner firewall(?) geblockt wurde, und mir wurde angezeigt das die seite möglicherweise meinen computer beschädigen könnte.
mittlerweile zeigt es jedoch nurnoch bei jedem link an, das die website nicht mehr angezeigt werden kann. Des weiteren blockt der virus meine programme.
ich habe ein programm gefunden das, andscheinend meinen Trojaner löscht, wollte es öffnen, und jedes mal zeigt es an, das windows ein problem festgestellt hat, und so ist es bei vielen programmen.

bitte um schnelle hilfe.

lg

cosinus · 16.12.2010, 10:05

Zitat:

Also, habe einen T/R.Shutdowner.fft.

Hast du mein Posting nicht gelesen?

Zitat:

bitte um schnelle hilfe.

Immer soll alles schnell schnell schnell gehen aber relevante Infos muss man allen aus der Nase ziehen

janis-h · 16.12.2010, 13:57

sorry, aber wie gesagt, geh im mom nicht so gerne an meinen laptop... muss aber andscheinend doch sein

janis-h · 16.12.2010, 14:46

Also

in C:\WINDOWS\system32\kb.dll

und der virus ist der TR/Shutdowner.fft

habe Windows XP.

was braucht ihr noch alles ? lg

cosinus · 16.12.2010, 20:00

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

janis-h · 24.12.2010, 12:22

Hier der OTL.Txt, malwarebytes spinnt iwie, muss ich nochmal machen

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 24.12.2010 11:37:27 - Run 1
OTL by OldTimer - Version 3.2.18.0     Folder = C:\Dokumente und Einstellungen\Gastkonto\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 71,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 372,60 Gb Total Space | 332,91 Gb Free Space | 89,35% Space Free | Partition Type: NTFS
 
Computer Name: HOME-PC | User Name: Gastkonto | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Gastkonto\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\Safari\Safari.exe (Apple Inc.)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\WINDOWS\system32\mmrtkrnl.exe (AlcaTech)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
PRC - C:\Programme\C&E\OSD\osd.exe (C&E)
PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
PRC - C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe (TOSHIBA CORPORATION.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Gastkonto\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (SSHNAS) -- C:\WINDOWS\System32\sshnas21.dll File not found
SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AdobeActiveFileMonitor7.0) -- C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
SRV - (OsdService) -- C:\Programme\C&E\OSD\OsdService\OsdService.exe ()
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (TUWinStylerThemeSvc) -- C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (TuneUp Software GmbH)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (CEBFilter) -- C:\Programme\C&E\OSD\OsdService\cebuffer.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (CEIO) -- C:\Programme\C&E\OSD\OsdService\ceio.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (cKBFilter) -- C:\Programme\C&E\OSD\OsdService\kbfiltr.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (Cam5603D) -- C:\WINDOWS\system32\drivers\BisonCam.sys ()
DRV - (RTL8169) -- C:\WINDOWS\system32\drivers\Rtlh86.sys (Realtek Corporation                                            )
DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (Tosrfhid) -- C:\WINDOWS\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (tosrfusb) -- C:\WINDOWS\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (tosrfbd) -- C:\WINDOWS\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (TosRfSnd) -- C:\WINDOWS\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (ITECIR) ITE EC CIR Driver (PMC) -- C:\WINDOWS\system32\drivers\ITECIR.sys (ITE Tech. Inc.)
DRV - (smserial) -- C:\WINDOWS\system32\drivers\smserial.sys (Motorola Inc.)
DRV - (tosrfbnp) -- C:\WINDOWS\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (tosporte) -- C:\WINDOWS\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (ssm_mdm) -- C:\WINDOWS\system32\drivers\ssm_mdm.sys (MCCI)
DRV - (ssm_mdfl) -- C:\WINDOWS\system32\drivers\ssm_mdfl.sys (MCCI)
DRV - (ssm_bus) SAMSUNG Mobile USB Device II 1.0 driver (WDM) -- C:\WINDOWS\system32\drivers\ssm_bus.sys (MCCI)
DRV - (Tosrfcom) -- C:\WINDOWS\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (tosrfnds) -- C:\WINDOWS\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "hxxp://start.icq.com/"
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q="
 
FF - HKLM\software\mozilla\Firefox\extensions\\{ED0CF0C8-62F1-4865-A3FD-2E2A2B50FAFA}: C:\WINDOWS\system32\5008 [2010.12.13 16:48:43 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 1.5\Extensions\\Components: C:\Programme\Mozilla Firefox\Components [2009.12.19 14:26:20 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 1.5\Extensions\\Plugins: C:\Programme\Mozilla Firefox\Plugins [2010.08.13 19:33:09 | 000,000,000 | ---D | M]
 
[2010.09.19 18:39:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\m8peq3w9.default\extensions
[2009.09.14 11:03:36 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\m8peq3w9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.07.10 14:25:44 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\m8peq3w9.default\searchplugins\icqplugin.gif
[2009.07.10 14:25:44 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\m8peq3w9.default\searchplugins\icqplugin.src
[2008.07.10 13:07:28 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\m8peq3w9.default\searchplugins\icqplugin.xml
[2010.09.19 18:39:54 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.01.19 14:48:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2009.07.01 17:09:55 | 000,060,518 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jar50.dll
[2009.07.01 17:09:55 | 000,049,248 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jsd3250.dll
[2009.07.01 17:09:55 | 000,165,992 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\xpinstal.dll
[2009.07.01 17:09:58 | 000,000,680 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazon-de.png
[2009.07.01 17:09:58 | 000,000,804 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazon-de.src
[2009.07.01 17:09:58 | 000,000,210 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.gif
[2009.07.01 17:09:58 | 000,001,075 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.src
[2009.07.01 17:09:58 | 000,001,076 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-de.gif
[2009.07.01 17:09:58 | 000,000,879 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-de.src
[2009.07.01 17:09:58 | 000,000,232 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.png
[2009.07.01 17:09:58 | 000,001,157 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.src
[2009.07.01 17:09:58 | 000,000,088 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.gif
[2009.07.01 17:09:58 | 000,001,147 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.src
 
O1 HOSTS File: ([2006.06.01 20:06:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {ED0CF0C8-62F1-4865-A3FD-2E2A2B50FAFA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\System32\sys\scvhost.exe File not found
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware  (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [OSD] C:\Programme\C&E\OSD\osd.exe (C&E)
O4 - HKLM..\Run: [Realtime Audio Engine] C:\WINDOWS\System32\mmrtkrnl.exe (AlcaTech)
O4 - HKLM..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\Run: [Windows System Guard] C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\winsvcn.exe File not found
O4 - HKCU..\Run: [{83BA83C7-A2D7-82F6-7DAF-A80CA74ED94F}] C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Ynvyfu\udvyh.exe (Arab Team 4 Reverse Engineering - www.at4re.com)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O4 - HKCU..\Run: [HKCU] C:\WINDOWS\System32\sys\scvhost.exe File not found
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\Run: [YVIBBBHA8C] C:\DOKUME~1\GASTKO~1\LOKALE~1\Temp\Cpv.exe File not found
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\sys\scvhost.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\sys\scvhost.exe File not found
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\appconf32.exe) - C:\WINDOWS\system32\appconf32.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.07.01 16:52:20 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.24 11:04:56 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Gastkonto\Desktop\OTL.exe
[2010.12.24 11:00:16 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.24 11:00:09 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.24 11:00:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.16 15:04:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\UAs
[2010.12.15 14:57:00 | 000,000,000 | ---D | C] -- C:\Programme\Absurd Terminator
[2010.12.13 16:48:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5008
[2010.12.13 16:48:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm
[2010.12.13 16:48:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\cock
[2010.12.04 11:08:17 | 000,000,000 | ---D | C] -- C:\Programme\NCH Software
[2010.12.04 11:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
[2010.12.04 11:06:48 | 000,000,000 | ---D | C] -- C:\Programme\NCH Swift Sound
[2010.12.04 11:06:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\NCH Swift Sound
[2010.12.01 19:41:13 | 000,000,000 | ---D | C] -- C:\Programme\PantsOff
[2010.11.30 21:38:22 | 000,000,000 | ---D | C] -- C:\Programme\LittleFighter2
[2009.06.16 13:03:56 | 000,126,976 | ---- | C] ( ) -- C:\WINDOWS\System32\Interop.SHDocVw.dll
[56 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.24 11:30:05 | 010,747,904 | -H-- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\NTUSER.DAT
[2010.12.24 11:26:00 | 000,001,224 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1003UA.job
[2010.12.24 11:26:00 | 000,001,216 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1004UA.job
[2010.12.24 11:06:00 | 000,000,296 | -H-- | M] () -- C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.12.24 11:04:56 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Gastkonto\Desktop\OTL.exe
[2010.12.24 11:00:17 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.24 10:58:00 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.12.24 10:52:46 | 000,003,584 | ---- | M] () -- C:\WINDOWS\System32\kb.dll
[2010.12.24 10:52:00 | 000,001,240 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-500UA.job
[2010.12.24 10:48:57 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.12.24 10:48:52 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.12.24 10:48:48 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.12.24 10:48:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.16 14:59:18 | 000,000,141 | ---- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\default.pls
[2010.12.16 14:58:51 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.12.16 14:58:38 | 000,005,120 | ---- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.16 14:51:15 | 000,002,433 | ---- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\Desktop\TubeBox! starten.lnk
[2010.12.15 14:27:32 | 000,002,396 | ---- | M] () -- C:\Dokumente und Einstellungen\Gastkonto\Desktop\Google Chrome.lnk
[2010.12.15 14:14:02 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.12.11 21:52:00 | 000,001,188 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-500Core.job
[2010.12.11 19:26:00 | 000,001,172 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1003Core.job
[2010.12.05 09:26:00 | 000,001,164 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-308236825-839522115-1004Core.job
[2010.12.04 11:21:42 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\switchShakeIcon.job
[2010.12.04 11:06:49 | 000,000,788 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Switch Audiodatei-Konverter.lnk
[2010.12.03 17:15:00 | 000,000,408 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[56 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.12.24 11:00:17 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.15 13:51:54 | 000,003,584 | ---- | C] () -- C:\WINDOWS\System32\kb.dll
[2010.12.04 11:21:40 | 000,000,278 | ---- | C] () -- C:\WINDOWS\tasks\switchShakeIcon.job
[2010.12.04 11:06:49 | 000,000,788 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Switch Audiodatei-Konverter.lnk
[2010.10.08 13:20:42 | 000,000,087 | ---- | C] () -- C:\WINDOWS\winlemm.ini
[2010.08.24 14:05:26 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.05.17 13:32:24 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\$_hpcst$.hpc
[2010.03.15 17:52:12 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2010.03.15 17:50:53 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.08.26 12:38:09 | 000,000,098 | ---- | C] () -- C:\WINDOWS\WirelessFTP.INI
[2009.07.25 10:13:44 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2009.07.25 08:46:28 | 000,044,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2009.07.20 06:43:17 | 004,815,060 | -H-- | C] () -- C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2009.07.20 06:39:56 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\desktop.ini
[2009.07.09 18:32:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI
[2009.07.09 18:06:14 | 000,753,456 | ---- | C] () -- C:\WINDOWS\System32\drivers\BisonCam.sys
[2009.07.09 18:06:14 | 000,015,190 | ---- | C] () -- C:\WINDOWS\M2000Twn.ini
[2009.07.01 21:05:17 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.07.01 17:43:40 | 001,050,652 | ---- | C] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2009.07.01 17:43:38 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.07.01 17:43:08 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
[2009.07.01 17:31:58 | 000,004,499 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.07.01 17:31:50 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009.07.01 17:16:59 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.07.01 16:52:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\control.ini
[2009.07.01 16:48:50 | 000,000,037 | ---- | C] () -- C:\WINDOWS\vbaddin.ini
[2009.07.01 16:48:50 | 000,000,036 | ---- | C] () -- C:\WINDOWS\vb.ini
[2009.07.01 16:48:11 | 000,027,055 | ---- | C] () -- C:\WINDOWS\System32\tslabels.ini
[2009.07.01 16:48:10 | 000,003,999 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.ini
[2009.06.16 13:03:58 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\dossec.dll
[2007.07.18 12:01:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.07.18 12:01:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.07.18 12:01:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.07.18 12:01:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.12.05 12:05:06 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2006.06.01 20:06:00 | 001,015,477 | ---- | C] () -- C:\WINDOWS\System32\esentprf.ini
[2006.06.01 20:06:00 | 000,733,696 | ---- | C] () -- C:\WINDOWS\System32\qedwipes.dll
[2006.06.01 20:06:00 | 000,498,205 | ---- | C] () -- C:\WINDOWS\System32\dxmasf.dll
[2006.06.01 20:06:00 | 000,331,776 | ---- | C] () -- C:\WINDOWS\System32\encdec.dll
[2006.06.01 20:06:00 | 000,268,288 | ---- | C] () -- C:\WINDOWS\System32\sbe.dll
[2006.06.01 20:06:00 | 000,253,440 | ---- | C] () -- C:\WINDOWS\System32\compatUI.dll
[2006.06.01 20:06:00 | 000,199,168 | ---- | C] () -- C:\WINDOWS\System32\ir32_32.dll
[2006.06.01 20:06:00 | 000,094,282 | ---- | C] () -- C:\WINDOWS\System32\msencode.dll
[2006.06.01 20:06:00 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\amstream.dll
[2006.06.01 20:06:00 | 000,053,478 | ---- | C] () -- C:\WINDOWS\System32\tcpmon.ini
[2006.06.01 20:06:00 | 000,042,809 | ---- | C] () -- C:\WINDOWS\System32\key01.sys
[2006.06.01 20:06:00 | 000,042,537 | ---- | C] () -- C:\WINDOWS\System32\keyboard.sys
[2006.06.01 20:06:00 | 000,035,648 | ---- | C] () -- C:\WINDOWS\System32\ntio411.sys
[2006.06.01 20:06:00 | 000,035,424 | ---- | C] () -- C:\WINDOWS\System32\ntio412.sys
[2006.06.01 20:06:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio804.sys
[2006.06.01 20:06:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio404.sys
[2006.06.01 20:06:00 | 000,034,032 | ---- | C] () -- C:\WINDOWS\System32\ntio.sys
[2006.06.01 20:06:00 | 000,029,370 | ---- | C] () -- C:\WINDOWS\System32\ntdos411.sys
[2006.06.01 20:06:00 | 000,029,274 | ---- | C] () -- C:\WINDOWS\System32\ntdos412.sys
[2006.06.01 20:06:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos804.sys
[2006.06.01 20:06:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos404.sys
[2006.06.01 20:06:00 | 000,027,914 | ---- | C] () -- C:\WINDOWS\System32\ntdos.sys
[2006.06.01 20:06:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2006.06.01 20:06:00 | 000,027,097 | ---- | C] () -- C:\WINDOWS\System32\country.sys
[2006.06.01 20:06:00 | 000,021,542 | ---- | C] () -- C:\WINDOWS\System32\mqperf.ini
[2006.06.01 20:06:00 | 000,017,241 | ---- | C] () -- C:\WINDOWS\System32\rsvp.ini
[2006.06.01 20:06:00 | 000,015,360 | ---- | C] () -- C:\WINDOWS\System32\tsd32.dll
[2006.06.01 20:06:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\msdmo.dll
[2006.06.01 20:06:00 | 000,014,060 | ---- | C] () -- C:\WINDOWS\System32\pschdprf.ini
[2006.06.01 20:06:00 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\win87em.dll
[2006.06.01 20:06:00 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\scriptpw.dll
[2006.06.01 20:06:00 | 000,009,032 | ---- | C] () -- C:\WINDOWS\System32\ansi.sys
[2006.06.01 20:06:00 | 000,006,287 | ---- | C] () -- C:\WINDOWS\System32\rasctrs.ini
[2006.06.01 20:06:00 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2006.06.01 20:06:00 | 000,004,992 | ---- | C] () -- C:\WINDOWS\System32\himem.sys
[2006.06.01 20:06:00 | 000,004,438 | ---- | C] () -- C:\WINDOWS\System32\perfci.ini
[2006.06.01 20:06:00 | 000,004,233 | ---- | C] () -- C:\WINDOWS\System32\perfwci.ini
[2006.06.01 20:06:00 | 000,004,126 | ---- | C] () -- C:\WINDOWS\System32\msdxmlc.dll
[2006.06.01 20:06:00 | 000,002,656 | ---- | C] () -- C:\WINDOWS\System32\netware.drv
[2006.06.01 20:06:00 | 000,001,783 | ---- | C] () -- C:\WINDOWS\System32\perffilt.ini
[2006.06.01 20:06:00 | 000,001,405 | ---- | C] () -- C:\WINDOWS\msdfmap.ini
[2006.06.01 20:06:00 | 000,000,597 | ---- | C] () -- C:\WINDOWS\win.ini
[2006.06.01 20:06:00 | 000,000,369 | ---- | C] () -- C:\WINDOWS\System32\prodspec.ini
[2006.06.01 20:06:00 | 000,000,227 | ---- | C] () -- C:\WINDOWS\system.ini
[2005.07.22 20:30:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2004.01.02 22:33:57 | 000,280,064 | ---- | C] () -- C:\WINDOWS\System32\CNCS232.DLL
[2004.01.02 22:33:57 | 000,092,660 | ---- | C] () -- C:\WINDOWS\System32\bass.dll
[2001.08.18 05:54:08 | 000,157,696 | ---- | C] () -- C:\WINDOWS\System32\paqsp.dll
 
========== LOP Check ==========
 
[2010.01.25 18:52:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlcaTech
[2010.08.28 20:51:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV
[2010.08.28 20:23:59 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJScan
[2009.07.09 19:52:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2010.01.19 14:48:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2010.12.04 11:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
[2009.07.01 17:05:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.09.24 13:41:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.07.10 21:58:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2010.01.25 18:52:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\AlcaTech
[2010.08.28 20:27:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Canon
[2009.12.19 18:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\DeepBurner
[2010.12.15 13:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\ICQ
[2010.12.24 11:30:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Mynaso
[2010.12.04 11:06:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\NCH Swift Sound
[2010.04.02 21:06:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Online Solutions
[2010.03.15 17:52:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Samsung
[2010.06.19 11:25:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\SharePod
[2009.08.19 11:04:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\TOSHIBA
[2010.05.13 18:51:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\TubeBox
[2010.07.25 06:08:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\Ynvyfu
[2010.12.03 17:15:00 | 000,000,408 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
[2010.12.04 11:21:42 | 000,000,278 | ---- | M] () -- C:\WINDOWS\Tasks\switchShakeIcon.job
[2010.12.24 11:06:00 | 000,000,296 | -H-- | M] () -- C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

janis-h · 24.12.2010, 12:24

Und hier noch Extras.Txt.
OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 24.12.2010 11:37:27 - Run 1
OTL by OldTimer - Version 3.2.18.0     Folder = C:\Dokumente und Einstellungen\Gastkonto\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 71,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 372,60 Gb Total Space | 332,91 Gb Free Space | 89,35% Space Free | Partition Type: NTFS
 
Computer Name: HOME-PC | User Name: Gastkonto | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
http [open] -- C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1" (Mozilla Corporation)
https [open] -- C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe" = C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe:*:Enabled:Google Chrome -- (Google Inc.)
"C:\Programme\Steam\steamapps\janhilli\counter-strike source\hl2.exe" = C:\Programme\Steam\steamapps\janhilli\counter-strike source\hl2.exe:*:Enabled:hl2 -- ()
"C:\Programme\Nero\Nero 7\Nero Home\NeroHome.exe" = C:\Programme\Nero\Nero 7\Nero Home\NeroHome.exe:*:Enabled:Nero Home -- (Nero AG)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\Steam\steam.exe" = C:\Programme\Steam\steam.exe:*:Enabled:Steam 732897 -- (Valve Corporation)
"C:\Programme\Electronic Arts\Need for Speed Carbon\NFSC.exe" = C:\Programme\Electronic Arts\Need for Speed Carbon\NFSC.exe:*:Enabled:NFSC -- ()
"C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\winsvcn.exe" = C:\Dokumente und Einstellungen\Gastkonto\Anwendungsdaten\winsvcn.exe:*:Enabled:Windows System Guard -- File not found
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Programme\UltraMixer\jre\launch4j-tmp\UltraMixer.exe" = C:\Programme\UltraMixer\jre\launch4j-tmp\UltraMixer.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Temp\jivexviewer\jre\bin\JiveX[dv] light" = C:\Dokumente und Einstellungen\Gastkonto\Lokale Einstellungen\Temp\jivexviewer\jre\bin\JiveX[dv] light:*:Enabled:Java(TM) 2 Platform Standard Edition binary
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4808" = CanoScan 5600F Scanner Driver
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{259C0ABB-A3B2-4D70-008F-BF7EE491B70B}" = Need for Speed™ Carbon
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 14
"{32E2F180-247C-4077-B06A-20F9868568E0}_is1" = UltraMixer 2.4.1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{42347B75-9660-2DA4-63FD-D35E344E1031}" = Nero 7 Premium
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{4A57592C-FF92-4083-97A9-92783BD5AFB4}" = WebCam
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{76BC2442-0002-47FA-9617-43BAD82BEF4C}" = Bonjour
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{829CD169-E692-48E8-9BDE-A3E8D8B65538}" = mSCfg
"{85309D89-7BE9-4094-BB17-24999C6118FC}" = ArcSoft PhotoStudio 5.5
"{868D7896-99D4-4513-BC62-2B3AD3E24926}" = TuneUp Utilities 2006
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{8DB77BE4-629D-458D-BD68-9F36667C2177}" = TubeBox!
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CCB8F6D-33FC-4E79-8616-7BE5DF32A955}" = BPM-Studio 4 Demo
"{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}" = mDriver
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A67BB21E-D419-45BB-AB86-7D87D14BBCE2}" = Safari
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B208806F-A231-4FA0-AB3F-5C1B8979223E}" = Microsoft ActiveSync 4.0
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio 3
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB6075D9-F912-40AE-BEA6-E590DA24F16B}" = Adobe Photoshop Elements 7.0
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D5B35376-6F9E-47B3-A9F8-791824EBFE0D}" = Samsung PC Studio 3
"{E1B2DF7C-A176-4A1D-9D32-3CEC5037A524}" = Apple Application Support
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{EA61BCD3-FA73-4F6B-A525-8BD816E7C840}" = TubeBox!
"{EB863CFD-6889-47B0-9D79-492DE0D07EE7}" = OSDInstall
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"Absurd Terminator" = Absurd Terminator
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop Elements 7" = Adobe Photoshop Elements 7.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Bridge Building Game" = Bridge Building Game
"CanonSolutionMenu" = Canon Utilities Solution Menu
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mixxx" = Mixxx 1.7.2
"Mozilla Firefox (1.5)" = Mozilla Firefox (1.5)
"MP Navigator EX 2.0" = Canon MP Navigator EX 2.0
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PokerStars.net" = PokerStars.net
"ProInst" = Intel(R) PROSet/Wireless Software
"SAMSUNG CDMA Modem" = SAMSUNG CDMA Modem Driver Set
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SMSERIAL" = Motorola SM56 Data Fax Modem
"Steam App 240" = Counter-Strike: Source
"Switch" = Switch Audiodatei-Konverter
"VLC media player" = VideoLAN VLC media player 0.8.2
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
"Mixxx (1.8.0~beta2)" = Mixxx 1.8.0~beta2 (64-bit)
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.12.2010 07:26:58 | Computer Name = HOME-PC | Source = Bonjour Service | ID = 100
Description = 244: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
 vom Remotehost geschlossen.)
 
Error - 12.12.2010 07:26:58 | Computer Name = HOME-PC | Source = Bonjour Service | ID = 100
Description = 232: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
 vom Remotehost geschlossen.)
 
Error - 12.12.2010 07:26:58 | Computer Name = HOME-PC | Source = Bonjour Service | ID = 100
Description = 400: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
 vom Remotehost geschlossen.)
 
Error - 12.12.2010 07:26:58 | Computer Name = HOME-PC | Source = Bonjour Service | ID = 100
Description = 392: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
 vom Remotehost geschlossen.)
 
Error - 12.12.2010 07:26:58 | Computer Name = HOME-PC | Source = Bonjour Service | ID = 100
Description = 412: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
 vom Remotehost geschlossen.)
 
Error - 15.12.2010 09:57:10 | Computer Name = HOME-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin~1.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul termin~1.exe, Version 0.0.0.0, Fehleradresse 0x00055626.
 
Error - 15.12.2010 09:57:24 | Computer Name = HOME-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung terminator.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul terminator.exe, Version 0.0.0.0, Fehleradresse 0x00055626.
 
Error - 15.12.2010 09:58:06 | Computer Name = HOME-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung terminator.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul terminator.exe, Version 0.0.0.0, Fehleradresse 0x00055626.
 
Error - 16.12.2010 10:03:59 | Computer Name = HOME-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung terminator.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul terminator.exe, Version 0.0.0.0, Fehleradresse 0x00055626.
 
Error - 24.12.2010 06:29:59 | Computer Name = HOME-PC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung terminator.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul terminator.exe, Version 0.0.0.0, Fehleradresse 0x00055626.
 
[ System Events ]
Error - 13.12.2010 11:45:08 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126
 
Error - 13.12.2010 11:45:08 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "OsdService" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
Error - 14.12.2010 11:07:27 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126
 
Error - 14.12.2010 11:07:27 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "OsdService" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
Error - 15.12.2010 08:52:39 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126
 
Error - 15.12.2010 08:52:39 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "OsdService" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
Error - 16.12.2010 09:47:17 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126
 
Error - 16.12.2010 09:47:17 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "OsdService" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
Error - 24.12.2010 05:50:27 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126
 
Error - 24.12.2010 05:50:27 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "OsdService" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
 
< End of report >

--- --- ---

janis-h · 24.12.2010, 13:58

irgendwie spinnt das Malwarebytes ganz schön... und der TR/Shutdowner.fft
st jetz we woanders, und zwar in C:\System Volume Information\...\A0000032.dll
und schon wieder woanders... " " " " " \A0000040.dll

scheint sich immer zu verschieben...

janis-h · 24.12.2010, 16:23

da, jetzt doch endlich mal Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5387

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

24.12.2010 16:24:35
mbam-log-2010-12-24 (16-24-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 289365
Laufzeit: 1 Stunde(n), 45 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.SpyNet) -> Value: HKCU -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YVIBBBHA8C (Trojan.FakeAlert) -> Value: YVIBBBHA8C -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{83BA83C7-A2D7-82F6-7DAF-A80CA74ED94F} (Trojan.ZbotR.Gen) -> Value: {83BA83C7-A2D7-82F6-7DAF-A80CA74ED94F} -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Backdoor.SpyNet) -> Value: HKLM -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows System Guard (Trojan.Agent) -> Value: Windows System Guard -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\gastkonto\eigene dateien\downloads\pantsoff.exe (PUP.PSWFinder) -> Not selected for removal.
c:\system volume information\_restore{afb5fced-6ca3-4a52-a684-c71303a074c3}\RP1\A0000041.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\system volume information\_restore{afb5fced-6ca3-4a52-a684-c71303a074c3}\RP1\A0000159.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\winsvncs.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\gastkonto\lokale einstellungen\Temp\teste.vbs (Trojan.VBS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\gastkonto\anwendungsdaten\Ynvyfu\udvyh.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\xmldm\iexplore.exe_uas002.dat (Stolen.Data) -> Quarantined and deleted successfully.

cosinus · 25.12.2010, 00:54

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

05.04.2010, 12:29	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden - Standard$ Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden Mach bitte einen Vollscan mit Malwarebytes. Signaturen davor wieder updaten. __________________ __________________

Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden