gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll

PyLi · 11.04.2010, 19:33

Hier das log von avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\tasks\xoszyleu.job" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und der link zum backup.zip

hxxp://w*w.file-upload.net/download-2427961/backup.zip.html

Die anderen scans mach ich jetzt.

Bis dann,
Frank

PyLi · 11.04.2010, 19:44

Hier das log-file von malwarebytes:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3978

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.04.2010 20:42:31
mbam-log-2010-04-11 (20-42-31).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 106650
Laufzeit: 5 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

PyLi · 11.04.2010, 20:00

Und hier noch das OTL.txt-file:
OTL logfile created on: 11.04.2010 20:47:50 - Run 1
OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\ADMIN\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 460,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,62 Gb Free Space | 60,47% Space Free | Partition Type: NTFS
Drive D: | 37,26 Gb Total Space | 29,53 Gb Free Space | 79,26% Space Free | Partition Type: NTFS
Drive E: | 39,06 Gb Total Space | 38,01 Gb Free Space | 97,32% Space Free | Partition Type: NTFS
Drive F: | 75,43 Gb Total Space | 69,53 Gb Free Space | 92,18% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,93 Gb Total Space | 1,93 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: LUCY
Current User Name: ADMIN
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\VDOTool\TBPANEL.exe (Palit Microsystems, Inc.)
PRC - C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
PRC - C:\Programme\Portrait Displays\HP My Display\dthtml.exe (Portrait Displays, Inc)
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe (Portrait Displays Inc.)
PRC - C:\Programme\Portrait Displays\Pivot Software\Floater.exe ()
PRC - C:\Programme\Portrait Displays\Pivot Software\wpCtrl.exe ()
PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
PRC - C:\WINDOWS\system32\VTTimer.exe (S3 Graphics, Inc.)
PRC - C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\lg_fwupdate\fwupdate.exe (CST)
PRC - C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
PRC - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
PRC - C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd.exe (Hewlett-Packard)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)

========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcr80.dll (Microsoft Corporation)
MOD - C:\Programme\Logitech\SetPoint\lgscroll.dll (Logitech, Inc.)
MOD - C:\Programme\Portrait Displays\Pivot Software\Winphook.dll ()

========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (LBTServ) -- C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (SNMP) -- C:\WINDOWS\system32\snmp.exe (Microsoft Corporation)
SRV - (Iprip) -- C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
SRV - (DTSRVC) -- C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe ()
SRV - (InCDsrv) -- C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (UleadBurningHelper) -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
SRV - (SimpTcp) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)
SRV - (LPDSVC) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)

========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (L8042Kbd) -- C:\WINDOWS\system32\drivers\L8042Kbd.sys (Logitech, Inc.)
DRV - (WmXlCore) -- C:\WINDOWS\system32\drivers\WmXlCore.sys (Logitech Inc.)
DRV - (WmVirHid) -- C:\WINDOWS\system32\drivers\WmVirHid.sys (Logitech Inc.)
DRV - (WmHidLo) -- C:\WINDOWS\system32\drivers\WmHidLo.sys (Logitech Inc.)
DRV - (WmFilter) -- C:\WINDOWS\system32\drivers\WmFilter.sys (Logitech Inc.)
DRV - (WmBEnum) -- C:\WINDOWS\system32\drivers\WmBEnum.sys (Logitech Inc.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation )
DRV - (pdiddcci) -- C:\WINDOWS\system32\drivers\pdiddcci.sys (Portrait Displays, Inc.)
DRV - (AmdPPM) -- C:\WINDOWS\system32\drivers\AmdPPM.sys (Advanced Micro Devices)
DRV - (TBPanel) -- C:\WINDOWS\system32\drivers\TBPanel.sys (Windows (R) 2000 DDK provider)
DRV - (Pivot) -- C:\WINDOWS\system32\drivers\pivot.sys (Portrait Displays, Inc.)
DRV - (pivotmou) -- C:\WINDOWS\system32\drivers\pivotmou.sys (Portrait Displays, Inc.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.)
DRV - (PdiPorts) -- C:\WINDOWS\system32\drivers\PdiPorts.sys (Portrait Displays, Inc.)
DRV - (speedfan) -- C:\WINDOWS\system32\speedfan.sys (Windows (R) 2000 DDK provider)
DRV - (hcwPP2) -- C:\WINDOWS\system32\drivers\hcwPP2.sys (Hauppauge Computer Works, Inc.)
DRV - (S3GIGP) -- C:\WINDOWS\system32\drivers\S3gIGPm.sys (S3 Graphics Co., Ltd.)
DRV - (xfilt) -- C:\WINDOWS\system32\DRIVERS\xfilt.sys (VIA Technologies,Inc)
DRV - (videX32) -- C:\WINDOWS\system32\DRIVERS\videX32.sys (VIA Technologies, Inc.)
DRV - (ViaIde) -- C:\WINDOWS\System32\DRIVERS\viaidexp.sys (VIA Technologies, Inc.)
DRV - (InCDfs) -- C:\WINDOWS\system32\drivers\InCDfs.sys (Nero AG)
DRV - (InCDPass) -- C:\WINDOWS\system32\drivers\InCDpass.sys (Nero AG)
DRV - (incdrm) -- C:\WINDOWS\system32\drivers\InCDrm.sys (Nero AG)
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (prohlp02) -- C:\WINDOWS\System32\drivers\prohlp02.sys (Protection Technology)
DRV - (prodrv06) -- C:\WINDOWS\System32\drivers\prodrv06.sys (Protection Technology)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation)
DRV - (prosync1) -- C:\WINDOWS\System32\drivers\prosync1.sys (Protection Technology)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (sfhlp01) -- C:\WINDOWS\System32\drivers\sfhlp01.sys (Protection Technology)
DRV - (viaagp1) -- C:\WINDOWS\System32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.)
DRV - (cdenable) -- C:\WINDOWS\system32\drivers\cdenable.sys ()
DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys ()

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

O1 HOSTS File: ([2010.03.17 13:00:18 | 000,000,176 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DT HPW] C:\Programme\Portrait Displays\HP My Display\DTHtml.exe (Portrait Displays, Inc)
O4 - HKLM..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe (Palit Microsystems, Inc.)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe (CST)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [PivotSoftware] C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe ()
O4 - HKLM..\Run: [RemoteControl] C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [S3Trayp] C:\WINDOWS\System32\S3Trayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - HKCU..\Run: [Pando] C:\Programme\Pando Networks\Pando\Pando.exe (Pando Networks)
O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} hxxp://www.alternatiff.com/install-ie/alttiff.cab (AlternaTIFF ActiveX)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199617933373 (WUWebControl Class)
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab (HpProductDetection Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222965640696 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab (HPSDDX Class)
O16 - DPF: {CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 83.169.184.161 83.169.184.225
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.06 09:48:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk H:\
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.11 20:46:56 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.09 19:56:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.04.07 17:57:13 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.04.07 14:33:29 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ADMIN\Recent
[2010.04.07 14:08:16 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.04.04 16:47:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Avira
[2010.04.04 16:47:00 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.04.04 16:47:00 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.04.04 16:47:00 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.04.04 16:47:00 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.04.04 16:46:59 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.04.04 16:46:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.04.01 19:13:12 | 000,000,000 | ---D | C] -- C:\Programme\HJT
[2010.04.01 18:58:06 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.04.01 18:58:05 | 000,000,000 | ---D | C] -- C:\rsit
[2010.04.01 18:32:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\Malwarebytes
[2010.04.01 18:32:24 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.01 18:32:21 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.01 18:32:21 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.01 18:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.01 18:11:03 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.04.01 13:13:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.03.26 18:15:51 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\xing shared
[2010.03.15 08:58:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\WinRAR
[2010.03.15 08:58:39 | 000,000,000 | ---D | C] -- C:\Programme\WinRAR
[2010.03.01 09:36:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2010.02.09 19:15:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.02.09 19:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.11.20 20:20:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2009.08.02 21:15:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 14:01:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.06 09:48:11 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.11 20:46:59 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ADMIN\Desktop\OTL.exe
[2010.04.11 20:45:49 | 000,000,559 | ---- | M] () -- C:\WINDOWS\DFC.INI
[2010.04.11 20:34:44 | 000,000,298 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
[2010.04.11 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2010.04.11 20:25:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.11 20:24:34 | 001,082,570 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.11 20:24:34 | 000,474,806 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.11 20:24:34 | 000,433,698 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.11 20:24:34 | 000,090,588 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.11 20:24:34 | 000,067,984 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.11 20:21:19 | 000,002,319 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
[2010.04.11 20:21:14 | 000,267,725 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.04.11 20:21:08 | 000,000,255 | ---- | M] () -- C:\WINDOWS\lgfwup.ini
[2010.04.11 20:20:43 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.11 20:20:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.11 20:20:42 | 000,000,270 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.11 20:20:31 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.11 20:20:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.11 20:20:27 | 1072,156,672 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.11 20:19:30 | 004,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2010.04.11 20:19:30 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2010.04.11 14:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.04.09 20:30:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.04.09 17:19:00 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.04.07 22:44:15 | 000,078,336 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:29:38 | 000,286,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.07 14:23:00 | 000,073,728 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:20 | 000,244,736 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:53 | 000,484,352 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[2010.04.04 16:47:12 | 000,001,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.04.01 21:52:15 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.04.01 21:52:14 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2010.04.01 19:13:13 | 000,001,990 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\HiJackThis.lnk
[2010.04.01 18:57:43 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\RSIT.exe
[2010.04.01 18:32:26 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.01 18:11:04 | 000,001,523 | ---- | M] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\CCleaner.lnk
[2010.03.31 18:47:19 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.26 18:17:37 | 000,000,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer SP.lnk
[2010.03.26 18:17:24 | 000,185,920 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\rmoc3260.dll
[2010.03.26 18:16:39 | 000,006,656 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5016.dll
[2010.03.26 18:16:39 | 000,005,632 | ---- | M] (RealNetworks, Inc.) -- C:\WINDOWS\System32\pndx5032.dll
[2010.03.26 18:13:07 | 000,278,528 | ---- | M] (Real Networks, Inc) -- C:\WINDOWS\System32\pncrt.dll
[2010.03.14 16:01:38 | 000,000,169 | ---- | M] () -- C:\WINDOWS\RtlRack.ini
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.07 22:44:15 | 000,078,336 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung gmer.doc
[2010.04.07 22:43:02 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\gbz96wox.exe
[2010.04.07 14:23:00 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Rsit.doc
[2010.04.07 14:22:19 | 000,244,736 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung Malwarebytes.doc
[2010.04.07 14:20:52 | 000,484,352 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\Anleitung CrapCleaner.doc
[2010.04.04 16:47:12 | 000,001,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.04.01 19:13:13 | 000,001,990 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\HiJackThis.lnk
[2010.04.01 18:57:41 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\RSIT.exe
[2010.04.01 18:32:26 | 000,000,687 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.01 18:11:04 | 000,001,523 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Desktop\CCleaner.lnk
[2010.03.26 18:17:40 | 000,000,270 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.03.26 18:17:38 | 000,000,278 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1682526488-839522115-1003.job
[2010.03.26 18:17:37 | 000,000,817 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer SP.lnk
[2010.03.26 18:09:20 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.03.26 18:09:18 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.03.26 18:09:16 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.03.26 18:09:16 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2009.09.14 17:55:11 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.06.20 19:58:19 | 000,000,179 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup.log
[2009.06.20 19:58:12 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Anwendungsdaten\setup_ldm.iss
[2008.05.31 13:35:13 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.05.26 22:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 22:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 22:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.04.06 18:17:30 | 000,000,600 | ---- | C] () -- C:\WINDOWS\Rtcw.INI
[2008.04.06 17:47:16 | 000,040,960 | ---- | C] () -- C:\Programme\Uninstall_CDS.exe
[2008.04.06 17:46:07 | 000,000,255 | ---- | C] () -- C:\WINDOWS\lgfwup.ini
[2008.03.29 18:57:26 | 000,002,304 | ---- | C] () -- C:\WINDOWS\System32\Machnm32.sys
[2008.03.29 17:56:24 | 000,000,559 | ---- | C] () -- C:\WINDOWS\DFC.INI
[2008.02.17 13:08:06 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.02.16 16:37:01 | 000,000,769 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\.plugin140_04.trace
[2008.02.16 16:36:36 | 000,045,164 | ---- | C] () -- C:\WINDOWS\System32\ActPanel.dll
[2008.01.13 20:55:15 | 000,009,299 | ---- | C] () -- C:\WINDOWS\hpdj5600.ini
[2008.01.13 16:39:50 | 000,299,454 | ---- | C] () -- C:\WINDOWS\Allsim.ini
[2008.01.13 16:39:49 | 000,061,268 | ---- | C] () -- C:\WINDOWS\Biutilsm.ini
[2008.01.13 16:39:49 | 000,057,969 | ---- | C] () -- C:\WINDOWS\Simsim.ini
[2008.01.13 16:39:49 | 000,000,580 | ---- | C] () -- C:\WINDOWS\Common.ini
[2008.01.13 16:39:43 | 000,055,808 | ---- | C] () -- C:\WINDOWS\System32\Prtserv.dll
[2008.01.13 14:41:07 | 000,000,298 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2008.01.13 14:13:03 | 000,000,248 | ---- | C] () -- C:\WINDOWS\HCWBlast.ini
[2008.01.13 14:11:55 | 000,004,027 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2008.01.13 13:31:46 | 000,000,215 | ---- | C] () -- C:\WINDOWS\nanoPEG.ini
[2008.01.13 13:27:39 | 000,000,349 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2008.01.13 13:27:22 | 000,029,998 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2008.01.13 13:27:16 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2008.01.12 21:53:17 | 000,000,811 | ---- | C] () -- C:\Dokumente und Einstellungen\ADMIN\Eudora.lnk
[2008.01.12 19:38:30 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2008.01.12 18:37:52 | 000,000,447 | ---- | C] () -- C:\WINDOWS\Chem3D.INI
[2008.01.12 18:18:12 | 000,006,112 | ---- | C] () -- C:\WINDOWS\System32\drivers\cdenable.sys
[2008.01.12 17:30:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.01.06 13:40:16 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2008.01.06 13:00:56 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.01.06 10:14:01 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2008.01.06 10:08:47 | 002,465,280 | ---- | C] () -- C:\WINDOWS\System32\s3gcil_inv.dll
[2008.01.06 10:05:11 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2008.01.06 10:05:04 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2008.01.06 09:52:03 | 000,057,344 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.dat.LOG
[2008.01.06 09:52:03 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\ADMIN\ntuser.ini
[2008.01.06 09:52:02 | 004,980,736 | -H-- | C] () -- C:\Dokumente und Einstellungen\ADMIN\NTUSER.DAT
[2007.11.28 10:45:31 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.07.21 16:50:34 | 000,066,048 | ---- | C] () -- C:\WINDOWS\System32\hcwXDS.dll
[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
< End of report >

und das Extras.txt-file:
OTL Extras logfile created on: 11.04.2010 20:47:50 - Run 1
OTL by OldTimer - Version 3.2.1.1 Folder = C:\Dokumente und Einstellungen\ADMIN\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 460,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,62 Gb Free Space | 60,47% Space Free | Partition Type: NTFS
Drive D: | 37,26 Gb Total Space | 29,53 Gb Free Space | 79,26% Space Free | Partition Type: NTFS
Drive E: | 39,06 Gb Total Space | 38,01 Gb Free Space | 97,32% Space Free | Partition Type: NTFS
Drive F: | 75,43 Gb Total Space | 69,53 Gb Free Space | 92,18% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,93 Gb Total Space | 1,93 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: LUCY
Current User Name: ADMIN
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"56782:TCP" = 56782:TCP:*:Enabled:Pando
"56782:UDP" = 56782:UDP:*:Enabled:Pando

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\CambridgeSoft\ChemOffice2004\ChemDraw\ChemDraw.exe" = C:\Programme\CambridgeSoft\ChemOffice2004\ChemDraw\ChemDraw.exe:*:Enabled:ChemDraw Ultra 8.0 -- (CambridgeSoft Corp.)
"C:\Programme\CambridgeSoft\ChemOffice2004\Chem3D\Chem3D.exe" = C:\Programme\CambridgeSoft\ChemOffice2004\Chem3D\Chem3D.exe:*:Enabled:Chem3D Ultra -- (CambridgeSoft Corp.)
"E:\Flight Simulator 9\fs9.exe" = E:\Flight Simulator 9\fs9.exe:*:Enabled:Microsoft Flight Simulator -- File not found
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server -- (Microsoft Corporation)
"E:\TestDrive\TestDriveUnlimited.exe" = E:\TestDrive\TestDriveUnlimited.exe:*:Enabled:Test Drive Unlimited -- File not found
"C:\Programme\CambridgeSoft\ChemOffice2004\ENotebook\ENotebook8.exe" = C:\Programme\CambridgeSoft\ChemOffice2004\ENotebook\ENotebook8.exe:*:Enabled:ENotebook8 -- (CambridgeSoft Corporation)
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\Pando Networks\Pando\Pando.exe" = C:\Programme\Pando Networks\Pando\Pando.exe:*:Enabled:Pando -- (Pando Networks)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0217E1D1-BCEF-4A61-AF6D-F7740F65A066}" = Pivot Software
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{068502DA-6979-4D9A-BBE1-C3AD0FF11F19}" = Ulead FilmBrennerei 2 SE
"{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}" = HiJackThis
"{0C826C5B-B131-423A-A229-C71B3CACCD6A}" = CDDRV_Installer
"{0DEA342C-15CB-4F52-97B6-06A9C4B9C06F}" = SDK
"{15733AD1-1CEF-459A-9245-0924FC63BDD5}" = HP My Display
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = Multimedia Launcher
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{2227E1FA-01F5-483C-AB0E-2A308E900B3D}" = InterVideo FilterSDK for Hauppauge
"{24F2E03B-ACF2-42FB-8A2A-5F015ACBDD16}" = TIGER ONE
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 17
"{3101CB58-3482-4D21-AF1A-7057FC935355}" = KhalInstallWrapper
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{505AFDC0-5E72-4928-8368-5DEA385E3647}" = CorelDRAW Graphics Suite 12
"{53735ECE-E461-4FD0-B742-23A352436D3A}" = Logitech Updater
"{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}" = Microsoft Office Live Add-in 1.3
"{5A33744D-33F5-451A-9CB0-2FE49EE3809C}" = ChemOffice Ultra 2004
"{6179550A-3E7C-499E-BCC9-9E8113E0A285}" = LG ODD Auto Firmware Update
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK
"{766273C1-A39B-47EB-ACE8-DEBDD8094BCC}" = overland
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7EC9E7A1-A576-43C8-9CBB-31BD5625EBCA}" = Fox LiveUpdate
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8B12D5A1-E544-11D6-9D1C-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_04
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90300407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Media Content
"{91110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{91190407-6000-11D3-8CFE-0050048383C9}" = Microsoft Publisher 2002
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB480DA0-7EE9-465D-9C12-4CDE65BF18FB}" = Pando
"{AC76BA86-1033-F400-7760-100000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{B97CF5C3-0487-11D8-A36E-0050BAE317E1}" = DVD Solution
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5961323-A2E5-4FAB-B92D-DBF6C282F0F5}" = Logitech Gaming Software 5.01
"{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DB5518BE-F40F-407A-B451-012625D4497B}" = hp deskjet 5600
"{E32D1370-414D-45CC-950A-7320BA6022C5}" = Corel SVG Viewer
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{ED636101-1959-4360-8BF7-209436E7DEE4}" = Windows Live Sync
"{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}" = Logitech SetPoint
"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Acrobat 7.0 Professional - English, Français, Deutsch - V" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Executor" = Executor-Win32
"Gaussian 98W" = Gaussian 98W
"Hauppauge German Help Files and Resources" = Hauppauge German Help Files and Resources
"Hauppauge WinTV Infrared Remote" = Hauppauge WinTV Infrared Remote
"Hauppauge WinTV IR Blaster" = Hauppauge WinTV IR Blaster
"Hauppauge WinTV Scheduler" = Hauppauge WinTV Scheduler
"Hauppauge WinTV2000" = Hauppauge WinTV2000
"Hauppauge WinTV-PVR 150 Drivers" = Hauppauge WinTV-PVR 150 Drivers
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InCD!UninstallKey" = InCD
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Platform Device Manager
"Java Web Start" = Java Web Start
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MDL ISIS Draw 2.5 Standalone" = MDL ISIS Draw 2.5 Standalone
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Molekel" = Molekel
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"nanoPEG-Editor 2.3 Hauppauge Edition_is1" = nanoPEG-Editor 2.3 Hauppauge Edition
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NETGEAR Print Server Software" = NETGEAR Print Server Software
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"OpenAL" = OpenAL
"RealPlayer 12.0" = RealPlayer
"SpeedFan" = SpeedFan (remove only)
"VDOTool_is1" = VDOTool 5.9
"VIA Chrome9 HC IGP Display" = VIA/S3G Display Driver 6.14.10.0057
"VIA/S3G DeltaChrome IGP Win2K/XP/Server2003 Display" = VIA/S3G Display Driver
"VTPlus32 für WinTV (German)" = VTPlus32 für WinTV (German)
"WIC" = Windows Imaging Component
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Networks Player - IE" = Move Networks Media Player for Internet Explorer

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 31.03.2010 14:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 31.03.2010 15:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 31.03.2010 16:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 31.03.2010 17:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 11:09:47 | Computer Name = LUCY | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung rescue_system-common-en.exe, Version 0.0.0.0,
Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 04.04.2010 11:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 12:25:11 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 13:25:12 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 04.04.2010 14:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

Error - 09.04.2010 10:25:05 | Computer Name = LUCY | Source = Google Update | ID = 20
Description =

[ System Events ]
Error - 07.04.2010 07:46:38 | Computer Name = LUCY | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 07.04.2010 07:47:53 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 07.04.2010 11:42:40 | Computer Name = LUCY | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 95.90.197.226 für die Netzwerkkarte mit der Netzwerkadresse
0015584C5C9A wurde durch den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).

Error - 07.04.2010 11:43:17 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 07.04.2010 11:57:42 | Computer Name = LUCY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde ViaIde

Error - 07.04.2010 11:57:43 | Computer Name = LUCY | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.

Error - 07.04.2010 18:19:42 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 09.04.2010 11:18:38 | Computer Name = LUCY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.100.10 über die
Netzwerkkarte mit der Netzwerkadresse 0015584C5C9A ist verloren gegangen.

Error - 11.04.2010 14:20:41 | Computer Name = LUCY | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.

Error - 11.04.2010 14:20:41 | Computer Name = LUCY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde ViaIde

< End of report >

PyLi · 11.04.2010, 20:11

Hier noch drei Punkte, an die ich noch erinnern wollte:
1) Die Sache mit der autorun.inf auf dem USB-Stick konnte ich wahrscheinlich selbst klären: Nach Umbenennen zu autorun.txt hatte ich Zugriff und konnte sehen, dass die nur Folgendes enthält:
[autorun]
icon=logo.ico,0

Aus meiner Laien-Sicht sorgt das nur dafür, dass der Stick mit seinem logo (aus logo.ico) angezeigt wird.
Richtig?

2) Im Gmer-Scan ist unter "Kernel" der Eintrag
lrtoqf.sys
zu sehen. Was ist das? Im Internet konnte ich nichts dazu finden.

3) Wird die "gesperrte" Datei CVHW.dll (die wir per avenger aus C:\windows\system32 rausgenommen haben) eigentlich auch mitgescannt, wenn sie in c:\avenger liegt und müsste bedacht werden, dass die Datei bereits vom 19.11.2009 stammt? Wenn ich die OTL-Einstellungen richtig verstanden habe, werden doch nur Files, die neuer als 30 Tage sind gescannt.
Was sollen wir letzlich mit dieser Datei machen?

LG,
Frank

Franz1968 · 12.04.2010, 12:30

Zitat:

Zitat von PyLi

Aus meiner Laien-Sicht sorgt das nur dafür, dass der Stick mit seinem logo (aus logo.ico) angezeigt wird.
Richtig?

Ja, sehe ich auch so. Auf jeden Fall unbedenklich.

Zitat:

3) Wird die "gesperrte" Datei CVHW.dll (die wir per avenger aus C:\windows\system32 rausgenommen haben) eigentlich auch mitgescannt, wenn sie in c:\avenger liegtund müsste bedacht werden, dass die Datei bereits vom 19.11.2009 stammt? Wenn ich die OTL-Einstellungen richtig verstanden habe, werden doch nur Files, die neuer als 30 Tage sind gescannt.

Von der CVHW.dll wissen wir ja bereits. Sie muss in keinem Logfile mehr auftauchen.

Zitat:

2) Im Gmer-Scan ist unter "Kernel" der Eintrag
lrtoqf.sys
zu sehen. Was ist das?

Bevor wir da rangehen, noch zwei kurze Scans bitte:

1. Lade dir diese Datei -> mbr.exe direkt auf Laufwerk c:\ und führe sie aus.
Auf c:\ wird dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

2. Start -> Ausführen -> notepad eintippen und <enter>
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

Code:

ATTFilter

@echo off
net user >log.txt
net user helpassistant >>log.txt
log.txt

Speichere das Dokument unter file.bat auf deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat, poste den Inhalt des Textdokuments.

PyLi · 12.04.2010, 13:02

Hallo Franz,

vielen Dank für deine Erklärungen/Hinweise.

Ich hab die Anweisungen umgesetzt. Hier die Ergebnisse:

mbr.log:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

und log vom file.bat:

Benutzerkonten fr \\LUCY

-------------------------------------------------------------------------------
ADMIN Administrator Gast
Hilfeassistent SUPPORT_388945a0
Der Befehl wurde erfolgreich ausgefhrt.

Hinweis:
Nach der Ausführung von file.bat hat sich zusätzlich zum Editorfenster mit o.g. log-text noch ein DOS-Fenster geöffnet:
Titel: c:\windows\system32\cmd.exe
Meldung: Der Benutzername konnte nicht gefunden werden. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2221 eingeben.

Beim Schließen des Editorfensters (mit dem log-text) wurde das DOS-Fenster automatisch ebenfalls geschlossen.

Grüße,
Frank

Franz1968 · 12.04.2010, 15:55

Zitat:

Zitat von PyLi

Nach der Ausführung von file.bat hat sich zusätzlich zum Editorfenster mit o.g. log-text noch ein DOS-Fenster geöffnet: ...

Das alles ist gut so. Es bedeutet, dass eine bestimmte Infektion, erkennbar an einem bestimmten Benutzerkonto, offenbar nicht vorhanden ist.

Hast du die beiden backup.zip -Files von Avenger noch? Wenn ja, lade sie bitte bei Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de hoch und poste mir den Link. Die Probleme, die wir damit hatten, hingen nämlich evtl. mit dem Hoster file-upload.net zusammen.

Außerdem brauche ich noch ein Logfile von RootRepeal:

Lade, entpacke und starte rootrepeal.exe
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.

Code:

ATTFilter

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

PyLi · 12.04.2010, 16:30

Hallo Franz,

ja die beiden zip-files sind noch da, aber sie enthalten beide nur jeweils ein txt-file. Ich lade aber trotzdem beide hoch:

1. file (bezüglich CVHW.dll):
h**p://w*w.materialordner.de/4oITPUI1mvRob7zV8grbmJH41ColzGRs.html

2. file (bezüglich xoszyleu.job)
h**p://w*w.materialordner.de/5WO6fizwgxx0SoeDZAYtabk6M57vpUq.html

Ich habe jedoch die Vermutung, dass das "Gewünschte" nicht in den zips enthalten ist. Hab auch mal versucht, die beiden files zu einem zip bzw. rar zu packen. Dabei gibt für beide files den Fehler, dass sie nicht hinzugefügt werden könne, da sie nicht geöffnet werden können, da kein Zugriff möglich ist.

Den scan bringe ich jetzt dann auf den Weg.

LG,
Frank

PyLi · 12.04.2010, 16:45

Hier noch der log von RootRepeal:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/04/12 17:33
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF1D85000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7BA2000 Size: 8192 File Visible: No Signed: -
Status: -

Name: giveio.sys
Image Path: giveio.sys
Address: 0xF7C19000 Size: 1664 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB78AA000 Size: 49152 File Visible: No Signed: -
Status: -

Name: speedfan.sys
Image Path: speedfan.sys
Address: 0xF7B58000 Size: 5248 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\windows\temp\perflib_perfdata_138.dat
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\admin\lokale einstellungen\temp\~dfea6.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\admin\lokale einstellungen\temp\~df184a.tmp
Status: Allocation size mismatch (API: 131072, Raw: 16384)

Path: c:\dokumente und einstellungen\admin\lokale einstellungen\temp\~df9196.tmp
Status: Allocation size mismatch (API: 24576, Raw: 0)

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7d18e5e

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7d18e54

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7d18e63

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7d18e6d

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7d18e72

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7d18e40

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7d18e45

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7d18e7c

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7d18e77

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7d18e68

Stealth Objects
-------------------
Object: Hidden Code [Driver: prodrv06Ѕఈ䵃慖, IRP_MJ_CREATE]
Process: System Address: 0xe1b37c30 Size: 976

Object: Hidden Code [Driver: prodrv06Ѕఈ䵃慖, IRP_MJ_CLOSE]
Process: System Address: 0xe1b37c30 Size: 976

Object: Hidden Code [Driver: prodrv06Ѕఈ䵃慖, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0xe1b37c30 Size: 976

Object: Hidden Code [Driver: prohlp02, IRP_MJ_CREATE]
Process: System Address: 0xe1024ad8 Size: 166

Object: Hidden Code [Driver: prohlp02, IRP_MJ_CLOSE]
Process: System Address: 0xe1024ad8 Size: 166

Object: Hidden Code [Driver: prohlp02, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0xe1024ad8 Size: 166

==EOF==

Der Scan dauert übrigens nicht mal 10min.

LG,
Frank

Franz1968 · 12.04.2010, 18:23

Zitat:

Zitat von PyLi

Ich habe jedoch die Vermutung, dass das "Gewünschte" nicht in den zips enthalten ist. Hab auch mal versucht, die beiden files zu einem zip bzw. rar zu packen. Dabei gibt für beide files den Fehler, dass sie nicht hinzugefügt werden könne, da sie nicht geöffnet werden können, da kein Zugriff möglich ist.

Du hast recht, das hat leider nicht geklappt. Kannst du mit einer Live-CD umgehen?

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Suche auf sda1 nach den beiden backup.zip-Files von Avenger und lade sie ein letztes Mal bei materialordner.de hoch und verlinke sie hier.
7. Suche in windows/system32/drivers oder in windows/system32 nach lrtoqf.sys und lade die Datei bei Virustotal hoch. Scanne sie dort und poste hier den Ergebnislink.
[PartedMagic bringt Netzwerktreiber mit. Nach Drücken der Windows-Taste hast du Zugriff auf den Chrome-Browser.]
8. Starte den Rechner neu und boote Windows.

PyLi · 12.04.2010, 19:23

Hallo Franz,

das mit der Live-CD hast du mir ausreichend erklärt, damit ich das wohl hinkriegen werde. Das Image stelle ich dann auch gleich her. Ich hätte da nur noch zwei Fragen:
Nachdem die zips immer "leer" sind und auch manuelle Versuche, die files in die zips zu kriegen, bisher gescheitert sind, denke ich, dass avenger ebenfalls nicht in der Lage war, die files zu den zips hinzuzufügen. Die files (CVHW.dll und xoszyleu.job) liegen noch im c:\avenger-Ordner. sollte ich die auch unter Linux bei Virustotal anschauen lassen?
Kann ich die o.g. beiden files auch unter Linux in einen zip-ordner packen und dann unter Linux bzw. XP hochladen?

LG,
Frank

PyLi · 12.04.2010, 21:26

Hallo Franz,

vielen Dank für deine neuen Anweisungen.

Ich habe das mit der Live-CD gerade durchgezogen.

Hier eine paar Anmerkungen (vielleicht kann ich so auch mal einen kleinen Beitrag leisten):
1) Es gibt eine neue Version von PartedMagic (4.10)
2) Der Chrome-Browser öffnet leider nicht durch Drücken der "Windows"-Taste. Man findet ihn unter dem P-Magic-Button (ganz links unten). Hier drauf Linksklick, dann unter Internet. Eine Verbindung konnte ich so leider nicht erhalten. Warum weiß ich nicht; habe auch nicht mehr viel "rumprobiert" (z.B. LAN-Verbindung manuell erstellen).
3) Im "Explorer" von PartedMagic gibt es unter dem Menüpunkt "View" die Option "Show hidden files". Die Einstellung scheint nur für die Linux-files ausschlaggebend zu sein. Für die windows-files konnte ich keinen Effekt feststellen.

Die Suche nach dem lrtoqf.sys-file war leider sowohl in windows\system32 als auch in windows\system32\drivers ergebnislos.
Mangels Internetverbindung konnte ich die beiden files (CVHW.dll und xoszyleu.job) auch auf diesem Weg nicht bei virustotal prüfen lassen. Schade!

Dann bin ich aber auf eine "Blöde Idee" gekommen:

Unter Linux sollten die Zugriffbeschränkungen auf die beiden files (CVHW und xoszyleu) ja aufgehoben sein. Folglich hab ich von den beiden Files zunächst Kopien unter neuem Namen aber mit identischer Endung (dll bzw job) gemacht. Diese Files hab ich dann (unter Linux) in ein zip gepackt. Die Kopien hab ich dann wieder gelöscht. Dann hab ich abermals Kopien von den Files gemacht. Diesmal jedoch mit orginalem Namen aber mit txt als Kennung. Die hab ich auch in einen zip-Ordner gepackt. Die txt-Files hab ich nicht gelöscht, sodass sie mir nun (natürlich ohne Zugriffbeschränkung) unter XP ebenfalls zur Verfügung stehen. Die beiden txt-files hab ich an virustotal gesendet. Ergebnis:

für CVHW.txt
h**p://w*w.virustotal.com/de/analisis/303aa1a8da9e347cc45e4cd48b8420e9ae7b7a80940168cdebe5636e0122c66b-1271102713

für xoszyleu.txt
h**p://w*w.virustotal.com/de/analisis/83b106bbc7b745905b87c369f66e2673d627a679145b4607564a1773dd6fbc93-1271102997

Die Links zu den zips:
die originalen files (geänderter Name; korrekte Endung)
h**p://w*w.materialordner.de/0ORJmAXX9xUtz3sBWGJccqwW6eTlHZSw.html

die txt-files (korrekter Name; txt-Endung)
h**p://w*w.materialordner.de/gSQfwz692QEErQw9pXw1rI2wzmITFg0.html

Vorsicht! Vorsicht! Vorsicht!
Die Files in den zips enthalten möglicherweise die Files ohne eventuelle Modifikationen durch avenger. Ob sie dann "gefährlich" sind/wären kann ich nicht beurteilen. Die Experten sollten das jedoch können.

Ich hoffe, Du kannst damit was anfangen und es bringt uns ein Stück voran.

Und nochmals

LG,
Frank

Franz1968 · 13.04.2010, 13:00

Zitat:

Zitat von PyLi

Dann bin ich aber auf eine "Blöde Idee" gekommen:

Lade die CVHW.txt bitte auch hier hoch: http://www.trojaner-board.de/54791-a...ner-board.html

Noch einmal Avenger, mit folgendem Script:

Code:

ATTFilter

drivers to delete:
lrtoqf

PyLi · 13.04.2010, 13:32

Hallo Franz,

das CVHW.txt-File hab ich auf TB hochgeladen.

Avenger hab ich laufen lassen. Bei der ersten Anmeldung nach dem reboot (von Avenger) hat sich der Rechner bei der Windows-Anmeldung verabschiedet und nochmals neugestartet (dann aber mit Erfolg).

Dem Avenger-log nach zu urteilen, gibt es das zu verschiebende Objekt nicht:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\lrtoqf" not found!
Deletion of driver "lrtoqf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Im backup.zip ist auch nix enthalten (nur die alten files und alle alten zip-Ordner; Avenger scheint einfach alle files unter c:\avenger in das backup.zip zu packen). Ich hab das backup.zip daher auch garnicht hochgeladen.

LG,
Frank

Franz1968 · 13.04.2010, 18:49

1.) Lösche die backup.zip des Avenger.
2.) Bemühe den Avenger noch einmal (ich habe nämlich etwas vergessen

)

Code:

ATTFilter

drivers to delete:
lrtoqf
lrtoqf.sys

3.) Update AntiVir, mache einen Full-Scan und poste das Logfile.
4.) Update Malwarebytes, mache einen Full-Scan und poste das Logfile.

Achte bitte auf die Reihenfolge. Avenger muss als erstes laufen, sonst kann u.U. das Ergebnis verfälscht werden. Wenn die Scans nichts mehr ergeben, wirst du erst mal entlassen.