Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.04.2010, 21:01   #1
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



Hi,

ich habe genau das gleiche Problem. Bekomme genau die gleichen Warnungen. Ich trau mich gar nicht den Rechner runterzufahren. Mache gerade einen malwarebytes-scan....
ich kenn mich gar nicht aus mit solchen Sachen, aber ich mach erstmal das was hier steht...

lg

Alt 28.04.2010, 07:21   #2
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



Guten Morgen,

wie schon erwähnt habe ich das gleiche Probelm. Ich hab deshalb zunächst einen Malewarebytes-Test gemacht. Das log-file ist:

PHP-Code:
28.04.2010 00:43:39
mbam
-log-2010-04-28 (00-43-39).txt

Art des Suchlaufs
Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte805494
Laufzeit
3 Stunde(n), 5 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse0
Infizierte Speichermodule
0
Infizierte Registrierungsschlüssel
1
Infizierte Registrierungswerte
2
Infizierte Dateiobjekte der Registrierung
0
Infizierte Verzeichnisse
0
Infizierte Dateien
11

Infizierte Speicherprozesse
:
(
Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(
Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(
Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(
Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\mts\AppData\Roaming\sdra64.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\thriXXX\3D SexVilla 2 Everlust\Binaries\fc3DSexVilla.dll (Trojan.Agent) -> No action taken.
C:\Recovery-Toshiba\Programme\VVSN\VVSN.exe (Adware.WhenU) -> No action taken.
C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XX4KVU7W\popusili[1].exe (Trojan.Downloader) -> No action taken.
C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD74A3WC\kkemu[1].htm (Trojan.Downloader) -> No action taken.
C:\Users\mts\AppData\Local\Temp\29C1.tmp (Trojan.Downloader) -> No action taken.
C:\Users\mts\AppData\Local\Temp\gptegaj.exe (Trojan.Downloader) -> No action taken.
C:\Users\mts\AppData\Local\Temp\072.exe (Trojan.Downloader) -> No action taken.
C:\Users\mts\Downloads\CryptLoad_1.1.8\ocr\filer.net\ocr_by_spider_b\Version4.exe (Trojan.Downloader) -> No action taken.
C:\Users\mts\Downloads\CryptLoad_1.1.8\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\Users\mts\csrss.exe (Trojan.Agent) -> No action taken
Danach hab ich noch den OTL Scan gemacht:

PHP-Code:
OTL logfile created on28.04.2010 00:46:19 Run 1
OTL by OldTimer 
Version 3.2.3.0     Folder C:\Users\mts\Desktop
Windows Vista Home Premium Edition Service Pack 2 
(Version 6.0.6002) - Type NTWorkstation
Internet Explorer 
(Version 8.0.6001.18904)
Locale00000407 CountryDeutschland LanguageDEU Date Formatdd.MM.yyyy
 
3
,00 Gb Total Physical Memory 1,00 Gb Available Physical Memory 46,00Memory free
6
,00 Gb Paging File 5,00 Gb Available in Paging File 75,00Paging File free
Paging file location
(s): ?:\pagefile.sys [binary data]
 
%
SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C
: | 223,92 Gb Total Space 22,31 Gb Free Space 9,96Space Free Partition TypeNTFS
Drive D
: | 8,96 Gb Total Space 1,64 Gb Free Space 18,33Space Free Partition TypeNTFS
E
Drive not present or media not loaded
F
Drive not present or media not loaded
G
Drive not present or media not loaded
H
Drive not present or media not loaded
I
Drive not present or media not loaded
 
Computer Name
MTS-PC
Current User Name
mts
Logged in 
as Administrator.
 
Current Boot ModeNormal
Scan Mode
Current user
Company Name Whitelist
Off
Skip Microsoft Files
Off
File Age 
30 Days
Output 
Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC C:\Users\mts\Desktop\OTL.exe (OldTimer Tools)
PRC C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC C:\Program Files\proeWildfire 3.0\i486_nt\nms\nmsd.exe (PTC)
PRC C:\Program Files\IDT\WDM\sttray.exe (IDTInc.)
PRC C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_e2247046\stacsv.exe (IDTInc.)
PRC C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC C:\Windows\System32\hasplms.exe (Aladdin Knowledge Systems Ltd.)
PRC C:\Windows\explorer.exe (Microsoft Corporation)
PRC C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
PRC C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corporation)
PRC C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansysli_server.exe (ANSYSInc.)
PRC C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansysli_monitor.exe ()
PRC C:\Windows\SMINST\BLService.exe ()
PRC C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansyslmd.exe ()
PRC C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
PRC C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
PRC C:\Windows\System32\cmd.exe (Microsoft Corporation)
PRC C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
PRC C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\lmgrd.exe (Macrovision Corporation)
PRC C:\Program Files\Trust\Trust R-Series Mouse\KMWDSrv.exe (UASSOFT.COM)
PRC C:\Program Files\Trust\Trust R-Series Mouse\KMCONFIG.exe (UASSOFT.COM)
PRC C:\Program Files\Trust\Trust R-Series Mouse\KMProcess.exe (UASSOFT.COM)
PRC C:\Program Files\Trust\Trust R-Series Mouse\StartAutorun.exe (UASSOFT.COM)
 
 
[
color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD C:\Users\mts\Desktop\OTL.exe (OldTimer Tools)
MOD C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation)
 
 
[
color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (NMSAccess) -- C:\Program Files\CDBurnerXP\NMSAccessU.exe ()
SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation)
SRV - (STacSV) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_e2247046\stacsv.exe (IDTInc.)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (hasplms) -- C:\Windows\System32\hasplms.exe (Aladdin Knowledge Systems Ltd.)
SRV - (wlidsvc) -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
SRV - (ANSYSIncLicense Manager) -- C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansysli_server.exe (ANSYSInc.)
SRV - (Recovery Service for Windows) -- C:\Windows\SMINST\BLService.exe ()
SRV - (IAANTMONIntel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
SRV - (ezSharedSvc) -- C:\Windows\System32\ezsvc7.dll (EasyBits Sofware AS)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation)
SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation)
SRV - (KMWDSERVICE) -- C:\Program Files\Trust\Trust R-Series Mouse\KMWDSrv.exe (UASSOFT.COM)
SRV - (SentinelProtectionServer) -- C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe (SafeNetInc)
SRV - (SentinelKeysServer) -- C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe (SafeNetInc.)
SRV - (MSC.Licensing 10.8) -- C:\Program Files\MSC NASTRAN\lmgrd.exe (Macrovision Corporation)
SRV - (WebDriveService) -- C:\Program Files\NetDrive\wdService.exe ()
 
 
[
color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (StarOpen) -- C:\Windows\System32\drivers\StarOpen.sys ()
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDTInc.)
DRV - (VClone) -- C:\Windows\System32\drivers\VClone.sys (Elaborate Bytes AG)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (winusb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (hardlock) -- C:\Windows\System32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.)
DRV - (ElbyCDIO) -- C:\Windows\System32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (avgio) -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (aksfridge) -- C:\Windows\System32\drivers\aksfridge.sys (Aladdin Knowledge Systems Ltd.)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (NETw5v32Intel(R) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation)
DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (RTL8169) -- C:\Windows\System32\drivers\Rtlh86.sys (Realtek Corporation                                            )
DRV - (JMCR) -- C:\Windows\System32\drivers\jmcr.sys (JMicron Technology Corp.)
DRV - (hpdskflt) -- C:\Windows\system32\DRIVERS\hpdskflt.sys (Hewlett-Packard Corporation)
DRV - (Accelerometer) -- C:\Windows\System32\drivers\Accelerometer.sys (Hewlett-Packard Corporation)
DRV - (enecir) -- C:\Windows\System32\drivers\enecir.sys (ENE TECHNOLOGY INC.)
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI CorporationInc.)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (AdaptecInc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (AdaptecInc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (AdaptecInc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (AdaptecInc.)
DRV - (winachsf) -- C:\Windows\System32\drivers\VSTCNXT3.SYS (Conexant SystemsInc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise TechnologyInc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (AdaptecInc.)
DRV - (HSF_DPV) -- C:\Windows\System32\drivers\VSTDPV3.SYS (Conexant SystemsInc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (HSFHWAZL) -- C:\Windows\System32\drivers\VSTAZL3.SYS (Conexant SystemsInc.)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (AdaptecInc.)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA TechnologiesInc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD TechnologyInc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (SynTP) -- C:\Windows\System32\drivers\SynTP.sys (SynapticsInc.)
DRV - (HpqRemHid) -- C:\Windows\System32\drivers\HpqRemHid.sys (Hewlett-Packard Development CompanyL.P.)
DRV - (HpqKbFiltr) -- C:\Windows\System32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development CompanyL.P.)
DRV - (Sentinel) -- C:\Windows\System32\Drivers\SENTINEL.SYS (SafeNetInc.)
DRV - (RBC9SpaceNavigator) -- C:\Windows\System32\drivers\RBC9-SpaceNav.sys ([RBC9-X11])
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise TechnologyInc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (AdaptecInc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology ExpressInc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology ExpressInc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (BrseridBrother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother IndustriesLtd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother IndustriesLtd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvm60x32.sys (NVIDIA Corporation)
DRV - (BCM43XV) -- C:\Windows\System32\drivers\BCMWL6.SYS (Broadcom Corporation)
DRV - (NSNDIS5) -- C:\Windows\System32\nsndis5.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (RFNP32) -- C:\Windows\System32\RFNP32.dll (River Front Software)
DRV - (WebDriveFSD) -- C:\Program Files\NetDrive\rffsd.sys ()
 
 
[
color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
 
IE HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page hxxp://google.mini20.com
IE HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache 1
IE 
HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"ProxyEnable" 0
IE 
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"ProxyServer" ftp=127.0.0.1:4001;http=127.0.0.1:4001;https=127.0.0.1:4001;socks=127.0.0.1:4001
 
[color=#E56717]========== FireFox ==========[/color]
 
FF prefs.js..browser.search.defaultenginename"Yahoo"
FF prefs.js..browser.search.param.yahoo-fr"chr-greentree_ff&type=971163"
FF prefs.js..browser.search.selectedEngine"Google (Language: DE)"
FF prefs.js..browser.search.useDBForOrdertrue
FF 
prefs.js..browser.startup.homepage"hxxp://olympia.zdf.de/ZDFsport/inhalt/15/0,5676,8033519,00.html"
FF prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3
FF 
prefs.js..extensions.enabledItems: {1018e4d6-728f-4b20-ad56-37578a4de76b}:4.0.3
FF 
prefs.js..extensions.enabledItems: {35106bca-6c78-48c7-ac28-56df30b51d2a}:1.3.8
FF 
prefs.js..extensions.enabledItems: {ec268e28-22c6-4a6c-ac22-635cabee283c}:1.0.1
FF 
prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.2
FF 
prefs.js..extensions.enabledItems: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}:1.3
FF 
prefs.js..keyword.URL"hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p="
 
FF HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\ComponentsC:\Program Files\Mozilla Firefox\components [2010.04.03 11:15:02 000,000,000 | ---M]
FF HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\PluginsC:\Program Files\Mozilla Firefox\plugins [2010.04.03 11:15:02 000,000,000 | ---M]
 
[
2009.02.21 15:32:39 000,000,000 | ---M] -- C:\Users\mts\AppData\Roaming\mozilla\Extensions
[2010.04.27 17:00:00 000,000,000 | ---M] -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions
[2010.04.03 19:30:01 000,000,000 | ---M] (Flagfox) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
[
2009.09.02 20:00:05 000,000,000 | ---M] (Microsoft .NET Framework Assistant) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[
2010.02.22 15:54:08 000,000,000 | ---M] (Linkification) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{35106bca-6c78-48c7-ac28-56df30b51d2a}
[
2010.04.03 19:30:01 000,000,000 | ---M] (DownloadHelper) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[
2010.01.07 16:33:31 000,000,000 | ---M] (Adblock Plus) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[
2010.02.22 15:54:08 000,000,000 | ---M] (Plain Text Links) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{ec268e28-22c6-4a6c-ac22-635cabee283c}
[
2010.03.22 12:55:16 000,000,000 | ---M] (FoxTab) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
[
2010.03.26 12:50:54 000,001,820 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\bing.xml
[2009.11.16 00:05:38 000,001,805 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\google-language-de.xml
[2009.11.08 15:43:35 000,002,108 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\qtl.xml
[2010.03.23 15:28:58 000,001,905 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\semager.xml
[2010.03.30 18:16:58 000,000,000 | ---M] -- C:\Program Files\Mozilla Firefox\extensions
[2009.06.08 20:11:23 000,000,000 | ---M] (pdfforge Toolbar Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
[
2009.06.08 20:11:23 000,000,000 | ---M] -- C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
[2006.08.09 12:16:08 000,030,408 | ---- | M] ( ) -- C:\Program Files\Mozilla Firefox\plugins\npWebLaunch.dll
[2010.01.25 18:13:31 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.25 18:13:31 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.25 18:13:31 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.25 18:13:31 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.25 18:13:31 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File
: ([2006.09.18 23:41:30 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 
Hosts127.0.0.1       localhost
O1 
Hosts: ::1             localhost
O2 
BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll (GreenTree ApplicationsInc.)
O2 BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll (GreenTree ApplicationsInc.)
O3 HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 HKLM..\Run: [avgntC:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 HKLM..\Run: [IAAnotifC:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 HKLM..\Run: [KMCONFIGC:\Program Files\Trust\Trust R-Series Mouse\StartAutorun.exe KMConfig.exe File not found
O4 
HKLM..\Run: [Malwarebytes Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
O4 - HKCU..\Run: [userinit] C:\Users\mts\AppData\Roaming\sdra64.exe ()
O4 - HKLM..\RunOnce: [Malwarebytes' 
Anti-MalwareC:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Program Files\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra '
Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program Files\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, Inc.)
O9 - Extra '
Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, Inc.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Ranges: Range1 ([http] in Local intranet)
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} file:///C:/Program%20Files/proeWildfire%203.0/i486_nt/obj/pvx_install.exe (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {D6E0B119-DCF2-4CD6-8DFB-7CFF1B70F7FF} https://bis.eu.blackberry.com/html/web/client_tools/TOImport.cab (TeamOn Import Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (C:\Users\mts\csrss.exe) - C:\Users\mts\csrss.exe ()
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.23 10:05:53 | 000,000,123 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{32a5e8a0-ad06-11de-910d-00238b0b7982}\Shell - "" = AutoRun
O33 - MountPoints2\{32a5e8a0-ad06-11de-910d-00238b0b7982}\Shell\AutoRun\command - "" = F:\Autorun.exe -- File not found
O33 - MountPoints2\{af4f3379-3ef0-11df-b683-00238b0b7982}\Shell\AutoRun\command - "" = I:\BOMBOM\dokazehehe.exe -- File not found
O33 - MountPoints2\{af4f3379-3ef0-11df-b683-00238b0b7982}\Shell\open\command - "" = I:\BOMBOM\dokazehehe.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.04.27 21:48:10 | 000,563,712 | ---- | C] (OldTimer Tools) -- C:\Users\mts\Desktop\OTL.exe
[2010.04.27 21:29:49 | 000,000,000 | ---D | C] -- C:\Users\mts\AppData\Roaming\Malwarebytes
[2010.04.27 21:29:39 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.04.27 21:29:36 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.04.27 21:29:36 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' 
Anti-Malware
[2010.04.27 21:29:36 000,000,000 | ---C] -- C:\ProgramData\Malwarebytes
[2010.04.27 21:26:37 000,000,000 | -HSD C] -- C:\Users\mts\AppData\Roaming\lowsec
[2010.04.27 21:04:14 000,000,000 | ---C] -- C:\Users\mts\Desktop\USB
[2010.04.26 09:59:56 000,000,000 | ---C] -- C:\Users\mts\Desktop\10 copies linear
[2010.04.25 19:31:24 000,000,000 | ---C] -- C:\Users\mts\AppData\Roaming\Real
[2010.04.24 16:30:04 000,000,000 | ---C] -- C:\Users\mts\Desktop\Diplomarbeit 4
[2010.04.24 16:29:47 277,936,872 | ---- | C] (Microsoft Corporation) -- C:\Users\mts\Desktop\WindowsXP-KB835935-SP2-DEU.exe
[2010.04.14 23:45:20 000,420,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\vbscript.dll
[2010.04.14 23:45:18 003,600,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2010.04.14 23:45:18 003,548,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2010.04.14 23:45:09 000,220,672 | ---- | C] (Fraunhofer Institut Integrierte Schaltungen IIS) -- C:\Windows\System32\l3codecp.acm
[2010.04.14 23:45:09 000,062,464 | ---- | C] (Fraunhofer Institut Integrierte Schaltungen IIS) -- C:\Windows\System32\l3codeca.acm
[2010.04.07 23:12:26 000,000,000 | ---C] -- C:\Users\mts\Desktop\Sport
[2010.04.07 23:12:15 000,000,000 | ---C] -- C:\Users\mts\Desktop\Media
[2010.04.03 00:02:58 000,000,000 | ---C] -- C:\Program Files\CD Wave
[2010.04.02 20:08:37 000,000,000 | ---C] -- C:\Users\mts\AppData\Roaming\Cycling '74
[2010.04.02 17:19:02 | 000,000,000 | ---D | C] -- C:\Users\mts\Reason
[2010.04.02 09:38:33 | 000,368,640 | ---- | C] (Propellerhead Software AB) -- C:\Windows\System32\ReWire.dll
[2010.04.02 09:38:33 | 000,233,472 | ---- | C] (Propellerhead Software AB) -- C:\Windows\System32\REX Shared Library.dll
[2010.04.02 09:33:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Propellerhead Software
[2010.04.02 09:33:39 | 000,000,000 | ---D | C] -- C:\Users\mts\AppData\Roaming\Propellerhead Software
[2010.04.02 09:32:53 | 000,000,000 | ---D | C] -- C:\Program Files\Propellerhead
[2010.03.31 08:30:13 | 001,469,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2010.03.31 08:30:13 | 000,611,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll
[2010.03.31 08:30:13 | 000,594,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2010.03.31 08:30:13 | 000,387,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll
[2010.03.31 08:30:13 | 000,164,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2010.03.31 08:30:12 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2010.03.31 08:30:12 | 000,184,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll
[2010.03.31 08:30:12 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ie4uinit.exe
[2010.03.31 08:30:12 | 000,133,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2010.03.31 08:30:12 | 000,109,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesysprep.dll
[2010.03.31 08:30:12 | 000,071,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesetup.dll
[2010.03.31 08:30:12 | 000,055,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iernonce.dll
[2010.03.31 08:30:12 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll
[2010.03.31 08:30:12 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2010.03.31 08:30:12 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe
[2010.03.30 18:17:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[2010.03.30 18:16:50 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.03.30 18:16:50 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.03.30 18:16:49 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[1 C:\Users\mts\*.tmp files -> C:\Users\mts\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.04.28 00:46:45 | 003,932,160 | -HS- | M] () -- C:\Users\mts\ntuser.dat
[2010.04.28 00:44:29 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\yviityx.sys
[2010.04.28 00:41:30 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.04.28 00:41:28 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.04.28 00:34:17 | 000,000,422 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{105A9444-2BD4-4557-A359-99A7B8F4EE5B}.job
[2010.04.27 23:49:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.27 22:24:41 | 000,000,020 | ---- | M] () -- C:\Users\mts\Documents\std.out
[2010.04.27 22:24:12 | 000,000,169 | ---- | M] () -- C:\Users\mts\Documents\std.err
[2010.04.27 21:46:42 | 000,563,712 | ---- | M] (OldTimer Tools) -- C:\Users\mts\Desktop\OTL.exe
[2010.04.27 21:30:43 | 000,293,376 | ---- | M] () -- C:\Users\mts\Desktop\0gvgm5qd.exe
[2010.04.27 21:29:42 | 000,000,778 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' 
Anti-Malware.lnk
[2010.04.27 21:06:49 001,541,724 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.04.27 21:06:49 000,664,282 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.04.27 21:06:49 000,625,582 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.04.27 21:06:49 000,142,622 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.04.27 21:06:49 000,117,144 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.04.27 20:43:52 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2010.04.27 20:41:52 000,096,107 | ---- | M] () -- C:\ProgramData\nvModes.001
[2010.04.27 20:41:49 000,096,107 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2010.04.27 20:41:44 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.27 20:41:29 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.04.27 20:41:27 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.04.27 20:41:23 3218,296,832 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.27 18:54:34 000,524,288 | -HS- | M] () -- C:\Users\mts\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2010.04.27 18:54:34 000,065,536 | -HS- | M] () -- C:\Users\mts\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2010.04.27 18:54:30 003,970,145 | -H-- | M] () -- C:\Users\mts\AppData\Local\IconCache.db
[2010.04.27 13:23:41 000,001,218 | ---- | M] () -- C:\Users\mts\Documents\pruefstand.crc
[2010.04.26 22:59:45 000,002,695 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Outlook 2007.lnk
[2010.04.26 21:19:07 000,002,593 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Excel 2007.lnk
[2010.04.26 15:44:53 000,002,481 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Visio 2007.lnk
[2010.04.26 12:34:17 000,044,544 | ---- | M] () -- C:\Users\mts\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.26 10:10:59 000,000,425 | ---- | M] () -- C:\Windows\BRWMARK.INI
[2010.04.26 10:10:59 000,000,027 | ---- | M] () -- C:\Windows\BRPP2KA.INI
[2010.04.25 15:14:13 000,002,591 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Word 2007.lnk
[2010.04.21 15:39:36 000,143,460 | ---- | M] () -- C:\Users\mts\Desktop\Termine-FEM-Pr-2010-SS.pdf
[2010.04.20 17:45:33 000,155,136 | ---- | M] () -- C:\Users\mts\csrss.exe
[2010.04.19 17:09:13 000,035,328 | ---- | M] () -- C:\Users\mts\Documents\20100419_Winkelmessung.vsd
[2010.04.19 10:03:41 000,220,404 | ---- | M] () -- C:\Users\mts\Documents\Systembeschreibung_3.0.pdf
[2010.04.18 19:43:08 000,074,935 | ---- | M] () -- C:\Users\mts\Documents\Herzliche Einladung.docx
[2010.04.17 23:50:34 002,666,612 | ---- | M] () -- C:\01 -  - version1.wav.MP3
[2010.04.17 23:45:56 002,061,265 | ---- | M] () -- C:\Users\mts\Desktop\01 -  - version1.ogg
[2010.04.17 15:45:53 000,058,880 | ---- | M] () -- C:\Users\mts\Documents\20100417_Zylinderlagerung_Var1.vsd
[2010.04.15 08:23:11 000,000,039 | ---- | M] () -- C:\Windows\vbaddin.ini
[2010.04.14 00:06:08 000,090,112 | ---- | M] () -- C:\Users\mts\Documents\20100413_Lagerungen.vsd
[2010.04.12 18:45:50 000,002,033 | ---- | M] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2010.04.12 12:00:17 000,010,480 | ---- | M] () -- C:\Users\mts\Documents\20100412_Wölbkrafttorsion.docx
[2010.04.06 22:11:24 000,115,712 | ---- | M] () -- C:\Users\mts\Documents\homepage.pub
[2010.04.05 22:16:39 000,187,379 | ---- | M] () -- C:\Users\mts\Documents\Hosteurope.pdf
[2010.04.03 11:14:52 000,001,449 | ---- | M] () -- C:\Users\mts\AppData\Local\RecConfig.xml
[2010.04.03 11:06:39 037,060,652 | ---- | M] () -- C:\01 -  - shesgotthatlight.wav
[2010.04.03 10:35:16 023,511,084 | ---- | M] () -- C:\01 -  - version1.wav
[2010.04.02 17:25:10 002,129,964 | ---- | M] () -- C:\01 -  - z6.wav
[2010.04.02 17:24:10 002,244,652 | ---- | M] () -- C:\01 -  - z5.wav
[2010.04.02 17:22:52 002,359,340 | ---- | M] () -- C:\01 -  - z4.wav
[2010.04.02 17:21:48 002,228,268 | ---- | M] () -- C:\01 -  - z2.wav
[2010.04.02 17:20:52 002,424,876 | ---- | M] () -- C:\01 -  - z1.wav
[2010.04.02 14:49:00 000,848,258 | ---- | M] () -- C:\Users\mts\Documents\torsion.pdf
[2010.04.02 09:38:33 000,368,640 | ---- | M] (Propellerhead Software AB) -- C:\Windows\System32\ReWire.dll
[2010.04.02 09:38:33 000,233,472 | ---- | M] (Propellerhead Software AB) -- C:\Windows\System32\REX Shared Library.dll
[2010.04.01 20:42:55 000,001,971 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2010.03.30 11:51:01 000,013,037 | ---- | M] () -- C:\Users\mts\Documents\20090810_Notenrechner.xlsx
[2010.03.29 15:24:58 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[1 C:\Users\mts\*.tmp files -> C:\Users\mts\*.tmp -> ]
 
[
color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.04.28 00:44:29 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\yviityx.sys
[2010.04.28 00:30:10 000,293,376 | ---- | C] () -- C:\Users\mts\Desktop\0gvgm5qd.exe
[2010.04.27 21:29:42 000,000,778 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.21 15:39:36 | 000,143,460 | ---- | C] () -- C:\Users\mts\Desktop\Termine-FEM-Pr-2010-SS.pdf
[2010.04.19 17:09:12 | 000,035,328 | ---- | C] () -- C:\Users\mts\Documents\20100419_Winkelmessung.vsd
[2010.04.19 10:03:41 | 000,220,404 | ---- | C] () -- C:\Users\mts\Documents\Systembeschreibung_3.0.pdf
[2010.04.18 18:08:33 | 000,074,935 | ---- | C] () -- C:\Users\mts\Documents\Herzliche Einladung.docx
[2010.04.17 23:50:34 | 002,666,612 | ---- | C] () -- C:\01 -  - version1.wav.MP3
[2010.04.17 23:46:57 | 002,061,265 | ---- | C] () -- C:\Users\mts\Desktop\01 -  - version1.ogg
[2010.04.17 15:45:52 | 000,058,880 | ---- | C] () -- C:\Users\mts\Documents\20100417_Zylinderlagerung_Var1.vsd
[2010.04.13 19:30:47 | 000,090,112 | ---- | C] () -- C:\Users\mts\Documents\20100413_Lagerungen.vsd
[2010.04.12 18:45:50 | 000,002,033 | ---- | C] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2010.04.12 12:00:17 | 000,010,480 | ---- | C] () -- C:\Users\mts\Documents\20100412_Wölbkrafttorsion.docx
[2010.04.06 22:11:24 | 000,115,712 | ---- | C] () -- C:\Users\mts\Documents\homepage.pub
[2010.04.05 22:16:39 | 000,187,379 | ---- | C] () -- C:\Users\mts\Documents\Hosteurope.pdf
[2010.04.03 10:43:29 | 037,060,652 | ---- | C] () -- C:\01 -  - shesgotthatlight.wav
[2010.04.03 10:29:34 | 023,511,084 | ---- | C] () -- C:\01 -  - version1.wav
[2010.04.02 17:24:58 | 002,129,964 | ---- | C] () -- C:\01 -  - z6.wav
[2010.04.02 17:23:19 | 002,244,652 | ---- | C] () -- C:\01 -  - z5.wav
[2010.04.02 17:22:38 | 002,359,340 | ---- | C] () -- C:\01 -  - z4.wav
[2010.04.02 17:21:36 | 002,228,268 | ---- | C] () -- C:\01 -  - z2.wav
[2010.04.02 17:20:39 | 002,424,876 | ---- | C] () -- C:\01 -  - z1.wav
[2010.04.02 14:49:00 | 000,848,258 | ---- | C] () -- C:\Users\mts\Documents\torsion.pdf
[2010.04.01 19:31:33 | 000,155,136 | ---- | C] () -- C:\Users\mts\csrss.exe
[2010.03.18 10:35:42 | 000,007,168 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys
[2010.02.06 20:09:28 | 000,027,648 | ---- | C] () -- C:\Windows\System32\AVSredirect.dll
[2009.11.23 20:13:43 | 000,137,544 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2009.10.21 08:52:08 | 000,000,162 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.10.07 15:26:40 | 000,020,480 | ---- | C] () -- C:\Windows\System32\maplecompat.dll
[2009.10.07 15:26:39 | 000,212,992 | ---- | C] () -- C:\Windows\System32\WMIMPLEX.dll
[2009.10.07 15:26:39 | 000,031,232 | ---- | C] () -- C:\Windows\System32\maplec.dll
[2009.10.04 15:46:05 | 000,225,280 | ---- | C] () -- C:\Windows\System32\rfwdres.dll
[2009.10.04 15:46:05 | 000,036,864 | ---- | C] () -- C:\Windows\System32\rfhres.dll
[2009.10.04 15:46:05 | 000,024,576 | ---- | C] () -- C:\Windows\System32\rfstrres.dll
[2009.10.04 15:46:05 | 000,024,576 | ---- | C] () -- C:\Windows\System32\rfshres.dll
[2009.10.04 15:46:04 | 000,503,808 | ---- | C] () -- C:\Windows\System32\RFHelper.dll
[2009.10.04 15:46:04 | 000,126,976 | ---- | C] () -- C:\Windows\System32\rfshext.dll
[2009.09.22 21:50:53 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2009.09.22 21:50:53 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2009.09.11 10:56:31 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009.06.16 22:50:43 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2009.06.08 20:10:52 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2009.02.17 02:36:58 | 000,085,504 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2008.12.07 14:08:06 | 000,795,648 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008.12.07 14:08:04 | 000,130,048 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2008.09.12 16:21:02 | 000,000,547 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll.manifest
[2007.11.06 19:24:30 | 000,041,984 | ---- | C] () -- C:\Windows\System32\spwini.dll
[2007.09.04 12:56:10 | 000,164,352 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2007.02.05 21:05:26 | 000,000,038 | ---- | C] () -- C:\Windows\AviSplitter.INI
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.03.09 11:58:00 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2003.01.25 11:52:14 | 000,131,072 | ---- | C] () -- C:\Windows\System32\libFLAC.dll
 
[color=#E56717]========== Alternate Data Streams ==========[/color]
 
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:24051EFF
< End of report > 
__________________


Alt 28.04.2010, 07:24   #3
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



und das andere noch:

PHP-Code:
OTL Extras logfile created on28.04.2010 00:46:19 Run 1
OTL by OldTimer 
Version 3.2.3.0     Folder C:\Users\mts\Desktop
Windows Vista Home Premium Edition Service Pack 2 
(Version 6.0.6002) - Type NTWorkstation
Internet Explorer 
(Version 8.0.6001.18904)
Locale00000407 CountryDeutschland LanguageDEU Date Formatdd.MM.yyyy
 
3
,00 Gb Total Physical Memory 1,00 Gb Available Physical Memory 46,00Memory free
6
,00 Gb Paging File 5,00 Gb Available in Paging File 75,00Paging File free
Paging file location
(s): ?:\pagefile.sys [binary data]
 
%
SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C
: | 223,92 Gb Total Space 22,31 Gb Free Space 9,96Space Free Partition TypeNTFS
Drive D
: | 8,96 Gb Total Space 1,64 Gb Free Space 18,33Space Free Partition TypeNTFS
E
Drive not present or media not loaded
F
Drive not present or media not loaded
G
Drive not present or media not loaded
H
Drive not present or media not loaded
I
Drive not present or media not loaded
 
Computer Name
MTS-PC
Current User Name
mts
Logged in 
as Administrator.
 
Current Boot ModeNormal
Scan Mode
Current user
Company Name Whitelist
Off
Skip Microsoft Files
Off
File Age 
30 Days
Output 
Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.
cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.
hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[
HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.
html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[
color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg ErrorKey error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %(Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %(Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /%(Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg ErrorKey error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %(Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile 
[edit] -- Reg ErrorKey error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory 
[cmd] -- cmd.exe //k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%(Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%(Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[
color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" 1
"UacDisableNotify" 0
"InternetSettingsDisableNotify" 0
"AutoUpdateDisableNotify" 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" 0
"AntiSpywareOverride" 0
"FirewallOverride" 0
"VistaSp1" Reg ErrorUnknown registry data type -- File not found
"VistaSp2" Reg ErrorUnknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" 1
"DisableNotifications" 0
"DefaultOutboundAction" 0
"DefaultInboundAction" 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" 1
"DisableNotifications" 0
"DefaultOutboundAction" 0
"DefaultInboundAction" 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" 1
"DisableNotifications" 0
"DefaultOutboundAction" 0
"DefaultInboundAction" 1
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
 
[color=#E56717]========== Vista Active Open Ports Exception List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0F8F1233-98C5-4061-939C-1E24CC157013}" lport=138 protocol=17 dir=in app=system 
"{27043FEA-574A-4C15-AE1B-A495B2F8E156}" lport=1900 protocol=17 dir=in svc=ssdpsrv app=%systemroot%\system32\svchost.exe 
"{31CE9B0C-55FD-4F0D-8265-9FEC84EC917D}" rport=1900 protocol=17 dir=out svc=ssdpsrv app=%systemroot%\system32\svchost.exe 
"{32D8E5C7-6B6B-494F-A411-304C886A0F27}" lport=6004 protocol=17 dir=in app=c:\program files\microsoft office\office12\outlook.exe 
"{39066194-444A-408F-96D8-9550B6A48DE2}" lport=137 protocol=17 dir=in app=system 
"{39AB6918-6D45-4C11-A696-E6B9F9D44A25}" lport=3702 protocol=17 dir=in svc=fdphost app=%systemroot%\system32\svchost.exe 
"{5CB26342-473C-436A-818A-D8DC91F8C91D}" lport=2869 protocol=dir=in app=system 
"{631C1B5F-1E04-4784-8D58-FB83728BBCBA}" rport=445 protocol=dir=out app=system 
"{65971F89-4DEC-408F-B9A0-39F242A59B30}" rport=3702 protocol=17 dir=out svc=fdrespub app=%systemroot%\system32\svchost.exe 
"{673F8A0A-B77C-4659-A88F-D77886FAEF82}" lport=rpc-epmap protocol=dir=in svc=rpcss name=@firewallapi.dll,-28539 
"{71C4D644-39B7-4827-96A5-CFC7D6A6EFD6}" lport=5355 protocol=17 dir=in svc=dnscache app=%systemroot%\system32\svchost.exe 
"{7339A00E-FB88-4686-AD4E-A4944E35CBE0}" rport=5355 protocol=17 dir=out svc=dnscache app=%systemroot%\system32\svchost.exe 
"{73526175-250A-4798-BAB6-6D82636F8BBE}" lport=1900 protocol=17 dir=in svc=ssdpsrv app=svchost.exe 
"{7871DE1B-EB11-42C8-BBBD-8DD3CF12D776}" rport=139 protocol=dir=out app=system 
"{7FF214C4-81B2-46FB-8C6F-A8D0B47711AB}" rport=137 protocol=17 dir=out app=system 
"{8663DBBB-2744-4BCF-97D3-E2B3750FBE12}" lport=445 protocol=dir=in app=system 
"{8A27E1AB-0382-468D-9444-CE98F71BA4FE}" lport=3702 protocol=17 dir=in svc=fdrespub app=%systemroot%\system32\svchost.exe 
"{A61C60B3-80F2-47DC-B410-B47C2FAC1A1F}" rport=138 protocol=17 dir=out app=system 
"{B60FD21C-EEB0-44AC-9DA5-3C14B21FAE72}" lport=rpc protocol=dir=in svc=spooler app=%systemroot%\system32\spoolsv.exe 
"{D6E7CB65-F290-412F-8CCC-357E369D1228}" lport=139 protocol=dir=in app=system 
"{DD39F0D5-2160-44C4-A52A-43FF69A7AC7B}" rport=3702 protocol=17 dir=out svc=fdphost app=%systemroot%\system32\svchost.exe 
 
[
color=#E56717]========== Vista Active Application Exception List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00FAEB6E-2B9C-4F5A-AFBE-943AA4E7F561}" dir=in app=c:\program files\msn messenger\msnmsgr.exe 
"{0AEB43D0-3E1E-4A0E-A2E3-FEA5F603E071}" protocol=58 dir=in name=@firewallapi.dll,-28545 
"{0B3CA34E-8F4A-4EAC-872A-E140870ECDE0}" protocol=dir=in app=c:\program files\ansys inc\v120\commonfiles\tools\intel\productconfig.exe 
"{1A330C73-12A0-4B98-8D47-07C1BDDFC7FA}" protocol=17 dir=in app=c:\program files\microsoft office\office12\onenote.exe 
"{2309BFF2-0329-4F08-B635-478B84EA84EC}" protocol=17 dir=in app=c:\program files\electronic arts\crytek\crysis\bin32\crysisdedicatedserver.exe 
"{26A08424-390A-4829-812C-AB71E5BC0FA1}" protocol=17 dir=in app=c:\program files\electronic arts\crytek\crysis sp demo\bin32\crysis.exe 
"{290ECD7C-954B-4A8A-B778-0E6025931CB7}" protocol=dir=in app=c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe 
"{30C73FFE-2301-431E-9BFA-A8BD2EBC0134}" protocol=dir=in app=c:\windows\system32\pnkbstrb.exe 
"{31CF4FD1-8702-4A92-9B6F-7AAC698978BD}" protocol=dir=in app=c:\program files\electronic arts\crytek\crysis\bin32\crysisdedicatedserver.exe 
"{5375EF57-FA49-46D2-8D26-8AEFF09C4A04}" dir=in app=c:\program files\cyberlink\powerdirector\pdr.exe 
"{5F777A5C-DAF8-4DC3-A382-69CE3D9608E7}" dir=in app=c:\program files\hp\quickplay\qpservice.exe 
"{66B1EC7B-B09E-4FDF-8509-0E818D737338}" protocol=dir=in app=c:\program files\microsoft office\office12\groove.exe 
"{6705C39A-89F6-4800-8884-AB7F661BC826}" protocol=dir=in app=c:\program files\microsoft office\office12\onenote.exe 
"{672DED54-5A3A-43BD-804B-71CE2AA97F25}" protocol=17 dir=in app=c:\program files\electronic arts\crytek\crysis\bin32\crysis.exe 
"{6F39B616-2388-465C-91E1-3EA243D6F5A2}" protocol=58 dir=out name=@firewallapi.dll,-28546 
"{6FA3A7B1-9FE4-4760-B56B-2C23B649B244}" protocol=dir=in app=c:\windows\system32\pnkbstra.exe 
"{761FB284-3326-42E1-B6E1-782747C0DF66}" protocol=17 dir=in app=c:\windows\system32\pnkbstra.exe 
"{8680C234-567A-43A2-BBE4-B7CDFB98963F}" protocol=17 dir=in app=c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe 
"{8C83BD17-9200-4537-A118-9611B1BE03A6}" protocol=17 dir=in app=c:\program files\ansys inc\v120\commonfiles\tools\intel\productconfig.exe 
"{A69D32F6-FB46-4862-80F7-7F0CC364FC1F}" protocol=dir=in app=c:\program files\electronic arts\crytek\crysis\bin32\crysis.exe 
"{AC83F829-F737-4D30-80AF-4685BFBF20D0}" protocol=dir=in app=c:\program files\common files\safenet sentinel\sentinel keys server\sntlkeyssrvr.exe 
"{B2489612-AB6D-4B8B-B6E8-D3AA5838CD1B}" dir=in app=c:\program files\hp\quickplay\qp.exe 
"{B3E9481E-66A8-41C5-B262-5744AA50F0D6}" protocol=17 dir=in app=c:\windows\system32\pnkbstrb.exe 
"{B965BE23-6720-4016-AD54-73827DA51DAC}" protocol=17 dir=in app=c:\program files\common files\safenet sentinel\sentinel keys server\sntlkeyssrvr.exe 
"{C5181D05-31D6-4801-89B5-ED6596F93632}" protocol=dir=out name=@firewallapi.dll,-28544 
"{C5815ECB-D26C-4B78-A0F1-C6E634B14161}" protocol=dir=out svc=upnphost app=%systemroot%\system32\svchost.exe 
"{CE7F98F8-89DF-47B8-A37D-0D8605EBCAA2}" protocol=dir=in app=c:\program files\electronic arts\crytek\crysis sp demo\bin32\crysis.exe 
"{CF00AD47-4950-4A30-9FEA-2F830BBE7AA7}" dir=in app=c:\program files\msn messenger\livecall.exe 
"{E197ADC8-DBC7-46BF-9713-52568B7BBEBE}" protocol=17 dir=in app=c:\program files\microsoft office\office12\groove.exe 
"{E9589254-BDDE-459F-B458-AC44347431E0}" protocol=dir=in name=@firewallapi.dll,-28543 
"TCP Query User{01563FEA-C5D4-4BC5-8C16-116311268DE4}C:\program files\usarmy\america's army 3\binaries\aa3game.exe" protocol=dir=in app=c:\program files\usarmy\america's army 3\binaries\aa3game.exe | 
"TCP Query User{09B18B32-73F7-4D86-8845-2D17A8FC4871}C:\program files\emule\emule.exe" = protocol=6 | dir=in | app=c:\program files\emule\emule.exe | 
"TCP Query User{17257332-DC0E-4AC7-98D7-2055DBC26362}C:\program files\proewildfire 3.0\i486_nt\nms\nmsd.exe" = protocol=6 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\nms\nmsd.exe | 
"TCP Query User{2D50FB13-F52B-4215-AAFA-7BDCFEEB3157}C:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe" = protocol=6 | dir=in | app=c:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe | 
"TCP Query User{47800CDA-F129-4F7E-BEF5-611F02B825A9}C:\program files\ansys inc\v120\commonfiles\jre\intel\bin\java.exe" = protocol=6 | dir=in | app=c:\program files\ansys inc\v120\commonfiles\jre\intel\bin\java.exe | 
"TCP Query User{49C894C9-5A07-4567-9D1D-99B5A0993D06}C:\program files\proewildfire 3.0\i486_nt\obj\ptcvconf.exe" = protocol=6 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\obj\ptcvconf.exe | 
"TCP Query User{4C9E8DF4-DD52-4B8C-89F3-57FC0AC1661A}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
"TCP Query User{4F557A79-C800-4D81-A989-ACE4219716C7}C:\program files\proengineer student edition\i486_nt\nms\nmsd.exe" = protocol=6 | dir=in | app=c:\program files\proengineer student edition\i486_nt\nms\nmsd.exe | 
"TCP Query User{7371BE56-B9E3-4EA3-AB58-8818FF0C32E0}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe | 
"TCP Query User{76506FF1-2AA3-4E9B-838C-60556F8B581D}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{96489FB0-2B49-4E1D-A271-5FA229EFDAA3}C:\program files\hummingbird\connectivity\11.00\exceed\exceed.exe" = protocol=6 | dir=in | app=c:\program files\hummingbird\connectivity\11.00\exceed\exceed.exe | 
"TCP Query User{990759CF-2F92-4804-A8EC-A8389634944D}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe | 
"TCP Query User{99DEE5DE-C94B-4A09-9AC5-82AD943F3F2E}C:\program files\proengineer student edition\i486_nt\obj\pro_comm_msg.exe" = protocol=6 | dir=in | app=c:\program files\proengineer student edition\i486_nt\obj\pro_comm_msg.exe | 
"TCP Query User{9CFF4060-BC81-4343-A1EC-CC4EEE710444}C:\program files\proengineer student edition\i486_nt\obj\xtop.exe" = protocol=6 | dir=in | app=c:\program files\proengineer student edition\i486_nt\obj\xtop.exe | 
"TCP Query User{B88B0D55-90FD-41D0-99B9-491FAF7B4FEB}C:\program files\maple 13\jre\bin\maple.exe" = protocol=6 | dir=in | app=c:\program files\maple 13\jre\bin\maple.exe | 
"TCP Query User{C15B8FBB-0397-402D-B7E5-D5827D218609}C:\program files\proewildfire 3.0\i486_nt\obj\pro_comm_msg.exe" = protocol=6 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\obj\pro_comm_msg.exe | 
"TCP Query User{C37C7E05-7FC5-4B3F-B186-C639BF0A05E5}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe | 
"TCP Query User{C9072032-41FA-4ABE-A52C-2C3C30CB6B51}C:\program files\ansys inc\v120\commonfiles\tcl\bin\intel\wish.exe" = protocol=6 | dir=in | app=c:\program files\ansys inc\v120\commonfiles\tcl\bin\intel\wish.exe | 
"TCP Query User{CEDD9A05-9268-407C-8734-E7A9A33E17F9}C:\program files\proewildfire 3.0\i486_nt\obj\xtop.exe" = protocol=6 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\obj\xtop.exe | 
"UDP Query User{152D53F0-0BB6-4B48-8FBA-B569990D9B6F}C:\program files\ansys inc\v120\commonfiles\tcl\bin\intel\wish.exe" = protocol=17 | dir=in | app=c:\program files\ansys inc\v120\commonfiles\tcl\bin\intel\wish.exe | 
"UDP Query User{2146FC6E-DC29-4D05-91F4-E49FF12375CF}C:\program files\hummingbird\connectivity\11.00\exceed\exceed.exe" = protocol=17 | dir=in | app=c:\program files\hummingbird\connectivity\11.00\exceed\exceed.exe | 
"UDP Query User{2D4E3899-2EF8-4DE4-9396-AC8EDEA90D5E}C:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe" = protocol=17 | dir=in | app=c:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe | 
"UDP Query User{34A54747-8BF6-43F5-BD24-D9B87AA3BAD5}C:\program files\usarmy\america'
s army 3\binaries\aa3game.exe" = protocol=17 | dir=in | app=c:\program files\usarmy\america's army 3\binaries\aa3game.exe | 
"
UDP Query User{5570338B-32B7-42C9-B4EA-91A17CDBA30D}C:\program files\emule\emule.exe" = protocol=17 | dir=in | app=c:\program files\emule\emule.exe | 
"
UDP Query User{5D384258-DB90-4BB8-BFAA-890B1801EDD6}C:\program files\proewildfire 3.0\i486_nt\obj\xtop.exe" = protocol=17 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\obj\xtop.exe | 
"
UDP Query User{747CD4C4-B943-4EF3-9728-65B46BADBD7E}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"
UDP Query User{760749E3-4977-4928-AC0F-EFC0B8730C9A}C:\program files\proewildfire 3.0\i486_nt\obj\ptcvconf.exe" = protocol=17 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\obj\ptcvconf.exe | 
"
UDP Query User{90CE7246-0DFC-4207-826A-6468F86AE6CD}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
"
UDP Query User{935CE03B-54B8-4B7E-B7E1-F09FBB6208CE}C:\program files\ansys inc\v120\commonfiles\jre\intel\bin\java.exe" = protocol=17 | dir=in | app=c:\program files\ansys inc\v120\commonfiles\jre\intel\bin\java.exe | 
"
UDP Query User{9367067C-CA03-483E-8DE8-9395043E47A4}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe | 
"
UDP Query User{940A5EE3-DF62-412A-BE4E-CC4E5B483BEB}C:\program files\proengineer student edition\i486_nt\nms\nmsd.exe" = protocol=17 | dir=in | app=c:\program files\proengineer student edition\i486_nt\nms\nmsd.exe | 
"
UDP Query User{98007B5F-B459-446B-AC7B-1E4DEBE559CE}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe | 
"
UDP Query User{A83820F3-CC7E-4C82-9CB5-8DFBB04F22B9}C:\program files\proewildfire 3.0\i486_nt\obj\pro_comm_msg.exe" = protocol=17 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\obj\pro_comm_msg.exe | 
"
UDP Query User{B89EA668-249E-4937-9F88-F884122999EE}C:\program files\maple 13\jre\bin\maple.exe" = protocol=17 | dir=in | app=c:\program files\maple 13\jre\bin\maple.exe | 
"
UDP Query User{BAFBA777-B532-4A06-9584-C1CB1A80D21B}C:\program files\proewildfire 3.0\i486_nt\nms\nmsd.exe" = protocol=17 | dir=in | app=c:\program files\proewildfire 3.0\i486_nt\nms\nmsd.exe | 
"
UDP Query User{D227EE04-3B2A-41D0-A281-9214691E5AAE}C:\program files\proengineer student edition\i486_nt\obj\xtop.exe" = protocol=17 | dir=in | app=c:\program files\proengineer student edition\i486_nt\obj\xtop.exe | 
"
UDP Query User{D881BB0D-9EC7-4AA4-9DAB-8DF16FD7F284}C:\program files\proengineer student edition\i486_nt\obj\pro_comm_msg.exe" = protocol=17 | dir=in | app=c:\program files\proengineer student edition\i486_nt\obj\pro_comm_msg.exe | 
"
UDP Query User{F07E40D5-134F-4072-83B4-CA6EF1BCA031}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe | 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"
{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"
{000E79B7-E725-4F01-870A-C12942B7F8E4}" = Crysis(R)
"
{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"
{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"
{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"
{082702D5-5DD8-4600-BCE5-48B15174687F}" = HP Doc Viewer
"
{08C0729E-3E50-11DF-9D81-005056806466}" = Google Earth
"
{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 6.5 Build #1005 Banner Remover 1.1
"
{10A44844-4465-456E-8C97-80BDD4F68845}" = Windows Live ID-Anmelde-Assistent
"
{13702021-43FB-480C-912F-D9B74A538288}" = OpenProj
"
{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"
{15F4085A-BC98-4590-AFFD-03BBBE49524E}" = Garmin Communicator Plugin
"
{17FECE79-B6DE-4EFC-83D0-9EF999007144}" = 3Dconnexion Plug-In for Maya 8.5
"
{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"
{1A986F4A-5DBA-4A6F-8CE3-973066C2587C}" = 3Dconnexion Plug-in for QuickTime VR
"
{1B6D1386-ADC2-4225-BAAA-EF3EFE9D5ECC}" = 3Dconnexion Add-In for Solid Edge
"
{1BDC9633-895B-4842-BCB6-8FA1EC2A3C5A}" = Adobe Shockwave Player
"
{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"
{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime
"
{228C6B46-64E2-404E-898A-EF0830603EF4}" = HPNetworkAssistant
"
{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"
{254C37AA-6B72-4300-84F6-98A82419187E}" = ActiveCheck component for HP Active Support Library
"
{26604C7E-A313-4D12-867F-7C6E7820BE4C}" = JMicron JMB38X Flash Media Controller
"
{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 19
"
{2711FC88-14CB-4906-A9AD-5AF05FDA9A29}" = 3Dconnexion Add-In for Inventor
"
{280235E3-D1FB-408A-A1D5-C77BA584FBBA}" = BlService Web Update
"
{30DAA715-5032-40F9-A0AE-95C9AEBB3E3F}" = HP QuickTouch 1.00 D2
"
{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"
{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"
{3363C5CE-298C-4F3A-9A8E-B05D8915C9A2}" = 3Dconnexion Add-In for AutoCAD 2008
"
{35DFFE62-9F48-4236-9249-9EAB5C7123C9}" = Hummingbird Exceed 2006
"
{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"
{3F425F12-3A1B-4511-97B2-E2BB4701B745}" = Crysis Wars(R)
"
{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"
{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"
{43E506CC-6633-4F2A-8D8E-4A95D2384393}" = Crysis Wars(R) Patch
"
{45D707E9-F3C4-11D9-A373-0050BAE317E1}" = HP QuickPlay 3.7
"
{46EBBFEE-4865-431E-9BC0-1BEC09106D3B}" = 3Dconnexion Add-In for SolidWorks
"
{485D3B61-A751-43C3-8C1E-77804564C108}" = MSC.Licensing 10.8
"
{48E7B8B2-462A-4CE4-A168-F2D48DFEF15F}" = 3Dconnexion Plug-In for 3ds Max 9
"
{49F95445-D297-48C8-944B-C89F99503C6F}" = 3Dconnexion Add-In for AutoCAD 2007
"
{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"
{4BB62880-C031-48B6-AD22-FBB966F55BC9}" = NISA Suite of FEA Software Version 16.1
"
{4BCC8FCE-2BB6-44E2-8796-FAC7258D45A4}" = 3Dconnexion 3DxWare
"
{51234DBB-4EC2-4229-ABBE-DF478443E14B}" = MSC Nastran 2007r1
"
{53C239F5-7E23-493D-8FB6-F8EEEA5C2154}" = Garmin Training Center
"
{546EABFE-DC65-4FFB-BEC8-6EFC9E710D49}" = 3Dconnexion Plug-In for Pro/ENGINEER
"
{582287DA-0806-4AC0-BF19-C15E3A466034}" = LightScribe System Software  1.12.33.2
"
{5A180ED5-0AC1-410A-B790-5E0319CD0A93}" = Sentinel Protection Installer 7.4.0
"
{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6
"
{5DAA9C36-8F8B-462F-8CCA-E205BC3751F5}" = HP Active Support Library
"
{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"
{5F4C776F-8CBD-4C4F-892F-B568ABDD70C8}" = GameSpy Comrade
"
{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"
{65F9E1F3-A2C1-4AA9-9F33-A3AEB0255F0E}" = Garmin USB Drivers
"
{669D4A35-146B-4314-89F1-1AC3D7B88367}" = HPAsset component for HP Active Support Library
"
{669F7D9C-533E-441F-B42B-32A3B38C0002}" = 3Dconnexion Plug-In for Maya 6
"
{67E9E6C6-ECEF-4195-B719-8788754297C6}" = inSSIDer
"
{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"
{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"
{718666FC-C0A7-4DE7-9120-8F1746A90588}" = Trust R-Series Mouse
"
{7193D2BB-5D40-471F-ACB0-E0C72B8D8298}" = 3Dconnexion Plug-In for Photoshop CS3
"
{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"
{7353BAE6-5E49-46C4-A9B5-8A269A313789}" = Crysis WARHEAD(R)
"
{761DF496-4F96-495C-9204-D344C840E98A}" = 3Dconnexion Plug-In for NX 5.0
"
{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"
{7B63B2922B174135AFC0E1377DD81EC2}" = 
"
{7DE1AE26-8599-4378-9F17-328B5A3984A4}" = Sibelius Scorch (Firefox, Opera, Netscape only)
"
{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"
{8395792A-43B7-4890-8F3F-C4FB3B97D45E}" = NISA Suite of FEA Software Version 16.0
"
{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 8168 8101E 8102E Ethernet Driver
"
{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"
{8A574E90-D2DB-4FAA-A6F9-60AE6CF5324D}" = 3Dconnexion Plug-In for NX 4.0
"
{8C13BEE4-E7CE-4E46-BD13-8F41DAD00FEF}" = SweetIM Toolbar for Internet Explorer 3.4
"
{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"
{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"
{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"
{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"
{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"
{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"
{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"
{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISER_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"
{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"
{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISER_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"
{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"
{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISER_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"
{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"
{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISER_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"
{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"
{90120000-003B-0000-0000-0000000FF1CE}" = Microsoft Office Project Professional 2007
"
{90120000-003B-0000-0000-0000000FF1CE}_PRJPRO_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"
{90120000-003B-0000-0000-0000000FF1CE}_PRJPRO_{9E73617F-2F38-4864-BD61-BB2DDFE43323}" = Microsoft Office Project 2007 Service Pack 2 (SP2)
"
{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"
{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-0051-0000-0000-0000000FF1CE}" = Microsoft Office Visio Professional 2007
"
{90120000-0051-0000-0000-0000000FF1CE}_VISPRO_{0FD405D3-CAF8-4CA6-8BFD-911D2F8A6585}" = Microsoft Office Visio 2007 Service Pack 2 (SP2)
"
{90120000-0051-0000-0000-0000000FF1CE}_VISPRO_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"
{90120000-0054-0407-0000-0000000FF1CE}" = Microsoft Office Visio MUI (German) 2007
"
{90120000-0054-0407-0000-0000000FF1CE}_VISPRO_{60CC0F2D-BFA0-4851-903D-809D876DD87B}" = Microsoft Office Visio 2007 Service Pack 2 (SP2)
"
{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"
{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISER_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"
{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{90120000-00B4-0407-0000-0000000FF1CE}" = Microsoft Office Project MUI (German) 2007
"
{90120000-00B4-0407-0000-0000000FF1CE}_PRJPRO_{16809599-3C53-4A9A-A7E2-74A6D0D2C007}" = Microsoft Office Project 2007 Service Pack 2 (SP2)
"
{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"
{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"
{91120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"
{91120000-0030-0000-0000-0000000FF1CE}_ENTERPRISER_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"
{91120000-0030-0000-0000-0000000FF1CE}_ENTERPRISER_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"
{91AA0B23-F026-477F-ACBD-02EF0C65600D}" = 3Dconnexion Plug-In for Maya 6.5
"
{92AF2F5A-4407-4A03-A80A-5A2582264746}" = Crysis(R) SP Demo
"
{98736A65-3C79-49EC-B7E9-A3C77774B0E6}" = Google SketchUp 6
"
{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"
{9A4D182C-35C7-4791-8484-4304EBC9101A}" = Windows 7 Upgrade Advisor
"
{A20E7CE8-963C-4D8C-9156-92C5C4687C97}" = 3Dconnexion Plug-In for Maya 8
"
{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"
{A4F084CE-8EE1-49ED-A091-8C21CA3A32DB}" = 3Dconnexion Add-On for XSI
"
{A5CE7175-080D-49AC-B5A3-E7E3502428F5}" = HP Wireless Assistant
"
{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"
{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"
{AC76BA86-7AD7-5670-0000-800000000003}" = Korean Fonts Support For Adobe Reader 8
"
{AE3CF174-872C-46C6-B9F6-C0593F3BC7B8}" = Microsoft Office Live Add-in 1.4
"
{B1102A25-3AA3-446B-AA0F-A699B07A02FD}" = Garmin USB Drivers
"
{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"
{B3D8B2F8-3C2C-45BC-933E-8B60E78F6684}" = Google SketchUp 6
"
{B83FF29A-DA32-4F49-A3D7-31318216D63D}" = 3Dconnexion Plug-In for 3ds max 6 - 8
"
{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}" = pdfforge Toolbar v1.0
"
{BAFCA6AC-8B37-405B-B57E-C1D45DE70ACC}" = 3Dconnexion 3DxSoftware (Personal Edition)
"
{C1ECB98D-1D38-4DBC-976C-457E6BE6EA2B}" = 3Dconnexion Plug-in for Acrobat 3D
"
{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = LabelPrint
"
{C8FD5BC1-92EF-4C15-92A9-F9AC7F61985F}" = HP Update
"
{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"
{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"
{CB71A20E-B1B4-4562-81FA-33E1DBD0342F}" = ProtectSmart Hard Drive Protection
"
{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"
{DB5C0B0D-6FC9-4072-BB43-4CFD70506CF6}" = 3Dconnexion Extension for SketchUp
"
{E0884BAF-445D-4B28-A242-D9368B8BDA6B}" = MTpro 2.0
"
{E1C57B77-50A4-4A9C-99BA-33CA0B815423}" = JVComm32
"
{E21AE190-A43C-4A45-B23B-84C71C7163B7}" = 3Dconnexion Plug-In for 3ds Max 2008
"
{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}" = IDT Audio
"
{E6FA148F-1E7D-4A42-A9A2-7DFABC2C6A2B}" = SportTracks 2.1
"
{E70B9D03-D1BE-4583-BA48-9DE1BD9A48D2}" = RBC9 - SpaceNavigator
"
{EC87E256-B0A4-4A41-8682-AB57FF21196D}" = SweetIM for Messenger 2.7
"
{EE2AA320-818B-441F-BE81-A855BA6C1151}" = 3Dconnexion Plug-In for Maya 7
"
{EF7E931D-DC84-471B-8DB6-A83358095474}" = EA Download Manager
"
{f32502b5-5b64-4882-bf61-77f23edcac4f}" = HP Total Care Advisor
"
{F48098CD-2D66-4861-85EC-DC1D4D09D5F9}" = HP User Guides 0102
"
{F996076C-BED5-45D6-9C10-39BC7B005F77}" = 3Dconnexion Plug-In for Photoshop CS2
"
{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}" = Vista Codec Package
"
{FFBBCB2F-E7AE-4310-BFEB-3D5C1EF872C5}" = 3Dconnexion Plug-In for Maya 2008
"
3DSexVilla2-058.002" = thriXXX 3DSexVilla2-058.002
"
49CF605F02C7954F4E139D18828DE298CD59217C" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (06/03/2009 2.3.0.0)
"
7-Zip" = 7-Zip 4.65
"
Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"
Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"
Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"
Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"
CD Wave_is1" = CD Wave Editor version 1.93.3
"
Comanche 4" = Comanche 4
"
Crysis WARHEAD(R)" = Crysis WARHEAD(R)
"
Crysis Wars(R)" = Crysis Wars(R)
"
Crysis Wars(RPatch" = Crysis Wars(R) Patch
"
DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"
DivX Setup.divx.com" = DivX-Setup
"
DynaGeo_is1" = DynaGeo 3.5
"
ENTERPRISER" = Microsoft Office Enterprise 2007
"
ffdshow_is1" = ffdshow [rev 3299] [2010-03-03]
"
FLV Player" = FLV Player 2.0 (build 25)
"
Free DVD Creator (by minidvdsoft)_is1" = Free DVD Creator version 2.0
"
Free Videos To DVD_is1" = Free Videos To DVD V 3.2.0
"
FreePDF_XP" = FreePDF XP (Remove only)
"
G4FON Koch Method Morse Trainer" = G4FON Koch Method Morse Trainer
"
Google Chrome" = Google Chrome
"
Google Updater" = Google Updater
"
GPL Ghostscript 8.64" = GPL Ghostscript 8.64
"
InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"
InstallShield_{718666FC-C0A7-4DE7-9120-8F1746A90588}" = Trust R-Series Mouse
"
InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"
InstallShield_{E0884BAF-445D-4B28-A242-D9368B8BDA6B}" = MTpro 2.0
"
InstallShield_{EF7E931D-DC84-471B-8DB6-A83358095474}" = EA Download Manager
"
IrfanView" = IrfanView (remove only)
"
JonDoUninstall" = JonDo
"
LastFM_is1" = Last.fm 1.5.4.24567
"
Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Maple 13" Maple 13
"Medion GoPal Assistant" Medion GoPal Assistant 4.02.007
"Microsoft .NET Framework 1.1  (1033)" Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" Microsoft .NET Framework 3.5 Language Pack SP1 DEU
"Microsoft .NET Framework 3.5 SP1" Microsoft .NET Framework 3.5 SP1
"MixW" MixW 2.19 (Jan-01-2009)
"Mozilla Firefox (3.6.3)" Mozilla Firefox (3.6.3)
"MTPro CAD Interface" MTPro CAD Interface
"Musicnotes Combined Installer_is1" Musicnotes Software Suite 1.2
"NetDrive" NetDrive
"Network Stumbler" Network Stumbler 0.4.0 (remove only)
"NVIDIA Drivers" NVIDIA Drivers
"PDF Blender" PDF Blender
"PRJPRO" Microsoft Office Project Professional 2007
"Pro/ENGINEER Release Wildfire 3.0 Datecode M030" Pro/ENGINEER Release Wildfire 3.0 Datecode M030
"Pro/ENGINEER Student Edition Release Wildfire 4.0 Datecode M020" Pro/ENGINEER Student Edition Release Wildfire 4.0 Datecode M020
"PunkBusterSvc" PunkBuster Services
"RealAlt_is1" Real Alternative 2.0.2
"Reason4_is1" Reason 4.0
"Redirection Port Monitor" RedMon Redirection Port Monitor
"SlingMedia.QPSlingPlayer_is1" QuickPlay SlingPlayer 0.4.6
"SUPER ©" SUPER © Version 2010.bld.37 (Jan 22010)
"SynTPDeinstKey" Synaptics Pointing Device Driver
"thriXXX WebLaunch" thriXXX WebLaunch
"TIPP10_is1" TIPP10 Version 2.0.3
"Tomb Raider II" Tomb Raider II
"V3.2_is1" File Scavenger 3.2
"ViewpointMediaPlayer" Viewpoint Media Player
"VirtualCloneDrive" VirtualCloneDrive
"VISPRO" Microsoft Office Visio Professional 2007
"WildTangent hp Master Uninstall" My HP Games
"WinGimp-2.0_is1" GIMP 2.6.6
"WinRAR archiver" WinRAR
 
[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"2a4f70b48f669acd" AA3Deploy
"Move Networks Player - IE" Move Networks Media Player for Internet Explorer
"WorkingModel2005" WorkingModel2005
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
Application Events ]
Error 26.04.2010 07:30:42 Computer Name mts-PC Source Application Error ID 1000
Description 
Fehlerhafte Anwendung DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0a,
 
fehlerhaftes Modul kernel32.dllVersion 6.0.6002.18005Zeitstempel 0x49e037dd,
 
Ausnahmecode 0xe06d7363Fehleroffset 0x0003fbae,  Prozess-ID 0xca8Anwendungsstartzeit
 01cae532ff754dfa
.
 
Error 26.04.2010 07:31:33 Computer Name mts-PC Source Application Error ID 1000
Description 
Fehlerhafte Anwendung DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0a,
 
fehlerhaftes Modul DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0aAusnahmecode
 0xc0000005
Fehleroffset 0x0003ed5f,  Prozess-ID 0xd40Anwendungsstartzeit 01cae533ecad54fa.
 
Error 26.04.2010 07:32:22 Computer Name mts-PC Source Application Error ID 1000
Description 
Fehlerhafte Anwendung DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0a,
 
fehlerhaftes Modul DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0aAusnahmecode
 0xc0000005
Fehleroffset 0x0003ed5f,  Prozess-ID 0xfc0Anwendungsstartzeit 01cae5340c2ba61a.
 
Error 26.04.2010 07:33:35 Computer Name mts-PC Source Application Error ID 1000
Description 
Fehlerhafte Anwendung DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0a,
 
fehlerhaftes Modul DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0aAusnahmecode
 0xc0000005
Fehleroffset 0x0003ed5f,  Prozess-ID 0x714Anwendungsstartzeit 01cae534294fbb5a.
 
Error 26.04.2010 07:33:37 Computer Name mts-PC Source Application Error ID 1000
Description 
Fehlerhafte Anwendung DispIV.exeVersion 0.0.0.0Zeitstempel 0x49141e0a,
 
fehlerhaftes Modul kernel32.dllVersion 6.0.6002.18005Zeitstempel 0x49e037dd,
 
Ausnahmecode 0xe06d7363Fehleroffset 0x0003fbae,  Prozess-ID 0x714Anwendungsstartzeit
 01cae534294fbb5a
.
 
Error 26.04.2010 14:28:18 Computer Name mts-PC Source WinMgmt ID 10
Description 

 
Error 27.04.2010 00:47:31 Computer Name mts-PC Source Google Update ID 20
Description 

 
Error 27.04.2010 00:48:35 Computer Name mts-PC Source WinMgmt ID 10
Description 

 
Error 27.04.2010 00:49:05 Computer Name mts-PC Source Google Update ID 20
Description 

 
Error 27.04.2010 14:43:03 Computer Name mts-PC Source WinMgmt ID 10
Description 

 
OSession Events ]
Error 12.08.2009 15:25:53 Computer Name mts-PC Source Microsoft Office 12 Sessions ID 7001
Description 
ID0Application NameMicrosoft Office WordApplication Version:
 
12.0.6504.5000Microsoft Office Version12.0.6425.1000This session lasted 2863
 seconds with 2640 seconds of active time
.  This session ended with a crash.
 
Error 08.04.2010 08:35:08 Computer Name mts-PC Source Microsoft Office 12 Sessions ID 7001
Description 
ID0Application NameMicrosoft Office WordApplication Version:
 
12.0.6514.5000Microsoft Office Version12.0.6425.1000This session lasted 22247
 seconds with 9840 seconds of active time
.  This session ended with a crash.
 
System Events ]
Error 26.04.2010 14:28:19 Computer Name mts-PC Source Service Control Manager ID 7009
Description 

 
Error 26.04.2010 14:28:19 Computer Name mts-PC Source Service Control Manager ID 7000
Description 

 
Error 27.04.2010 00:48:35 Computer Name mts-PC Source Service Control Manager ID 7000
Description 

 
Error 27.04.2010 00:48:35 Computer Name mts-PC Source Service Control Manager ID 7009
Description 

 
Error 27.04.2010 00:48:35 Computer Name mts-PC Source Service Control Manager ID 7000
Description 

 
Error 27.04.2010 14:43:04 Computer Name mts-PC Source Service Control Manager ID 7000
Description 

 
Error 27.04.2010 14:43:04 Computer Name mts-PC Source Service Control Manager ID 7009
Description 

 
Error 27.04.2010 14:43:04 Computer Name mts-PC Source Service Control Manager ID 7000
Description 

 
Error 27.04.2010 15:27:41 Computer Name mts-PC Source WinDefend ID 3006
Description 
Bei den Maßnahmen gegen Spyware und möglicherweise unerwünschte Software
 wurde vom 
%%827-Echtzeitschutz-Agent ein Fehler festgestellt.    Weitere Informationen
 finden Sie hier
:  hxxp://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:Win32/Harnig.gen!P&threatid=139779

    
Scan-ID:
 {
F2E21C6F-B3F0-4318-8E76-79F516EC20AC}      Benutzermts-PC\mts     NameTrojanDownloader:Win32/Harnig.gen!P

    ID
:
 
139779     Schweregrad-ID5     Kategorie-ID4     Pfad:      Warnungsart: %%805     Aktion: %%812     Fehlercode:
 
0x80508024     FehlerbeschreibungZum Abschluss der Entfernung von Spyware und anderer
 unerwünschter Software müssen Sie einen vollständige Überprüfung ausführen
Informationen
 zu Scanoptionen finden Sie unter 
"Hilfe und Support"
 
Error 27.04.2010 16:09:35 Computer Name mts-PC Source WinDefend ID 3006
Description 
Bei den Maßnahmen gegen Spyware und möglicherweise unerwünschte Software
 wurde vom 
%%827-Echtzeitschutz-Agent ein Fehler festgestellt.    Weitere Informationen
 finden Sie hier
:  hxxp://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:Win32/Harnig.gen!P&threatid=139779

    
Scan-ID:
 {
88E98A2B-9649-4447-AA43-53783C3B17A9}      Benutzermts-PC\mts     NameTrojanDownloader:Win32/Harnig.gen!P

    ID
:
 
139779     Schweregrad-ID5     Kategorie-ID4     Pfad:      Warnungsart: %%805     Aktion: %%812     Fehlercode:
 
0x80508024     FehlerbeschreibungZum Abschluss der Entfernung von Spyware und anderer
 unerwünschter Software müssen Sie einen vollständige Überprüfung ausführen
Informationen
 zu Scanoptionen finden Sie unter 
"Hilfe und Support"
 
 
End of report 

danch hab ich noch den Rootkitscan mit GMER ausgeführt. der hat allerdings zweimal abgebroche.

heute nacht hab ich noch antivir laufen lassen. da gabe keine funde.

falls sich irgendjemand damit auskennt und mir helfen möchte wäre das super.

da ich mein system derzeit nicht neu aufsetzen kann wäre es schön wenn mir jemand noch weitere programme nennen könnte mit denen ich weiter bereinigen kann falls nötig.

danke schon mal!
__________________

Alt 28.04.2010, 16:09   #4
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



kann denn nicht bitte mal jemand nen blick auf meine log-files werfen? ich fühle micht echt unsicher seit gestern...

Alt 28.04.2010, 17:42   #5
StLB
/// Helfer-Team
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



Hi,


@gedeole: Gern geschehen!


@mts4711: Willst Du nicht auch Dein System neu aufsetzen?
Da ist einiges vorhanden, was nicht unbedingt zum Bereinigen einlädt.

====================

Backdoor-Warnung

Dein System ist mit einem sog. Backdoor infiziert.

Ein Backdoor infiziert das System über eine Hintertür, um es zu schädigen und die komplette Kontrolle darüber zu erlangen.
Oft bringt er auch Schädlinge mit sich, welche Tastatur-Eingaben (u.a. Passwörter) mitloggen, Programme starten, oder sogar sehen können, was auf Deinem Bildschirm passiert.
Ein Neuaufsetzen des Systems ist daher die schnellste und auch sicherste Variante.
Solltest Du trotzdem bereinigen wollen, führe bitte die unten genannten Schritte aus.

Sei Dir außerdem bewusst: Backdoors können sämtliche von Dir verwendete Passwörter - z.B. bei E-Mail, Online-Banking, eBay, etc. - durch mitloggen aller Tastatur-Eingaben ausspionieren und somit missbrauchen. => siehe hier im Malwarebytes-Log: (Stolen.data)
Ändere daher bitte von einem sauberen Rechner aus alle Deine Passwörter .

====================


Und bitte: Poste zukünftige Logs nicht in PHP-Tags. Dadurch gehen alle "/" verloren, was es extrem schwer macht, den Überblick zu behalten.
Nimm stattdessen besser die Code-Tags.

__________________
Gruß, Julian

Kein Support per PM!

Spendemöglichkeit: Make a Donation

Alt 28.04.2010, 18:03   #6
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



um ehrlich zu sein würd ich schon gern mein system neu aufsetzte. ich komm allerdings erst in 2 wochen dazu. hab sowieso vor von vista auf windows 7 umzusatteln.
wie schlimm hat es denn meinen rechner erwischt? kann ich die nächsten 2 wochen noch irgendwie ohne neuaufsetzen über die runden kommen?

Alt 28.04.2010, 20:08   #7
StLB
/// Helfer-Team
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



Also, u.a. befindet sich auf deinem Rechner:

- sdra64.exe (Trojan-Spy.Win32.Zbot.gen)
- csrss.exe (W32/Rontokbro.gen)
- yviityx.sys (ein nettes Rootkit, welches wsl. obige Dateien nachlädt, falls man sie löscht)
- lowsec (Ordner mit deinen persönlichen, vom Trojan-Spy erspähten Daten)

Ändere bitte in jedem Falle von einem sauberen Rechner aus deine Passwörter! (E-Mail, eBay, Online-Banking)
Mit dem verseuchten Rechner am besten nicht mehr im Netz surfen (außer zu Bereinigungszwecken!)
__________________
Gruß, Julian

Kein Support per PM!

Spendemöglichkeit: Make a Donation

Alt 28.04.2010, 20:58   #8
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



ach du heiliger bimbam...

gibts ne möglichkeit das zeug doch zu löschen und vor allem zu unterbinden dass persönliche daten irgendwo hingeschickt werden? kann ich irgendwo nachschaun in diesem losec ordner welche daten da drin sind? woher sollen die trojaner denn kommen? ich hab gar nichts besonderes gemacht dei letzten tage. und vor allem...warum kann antivir oder maleware das zeug nicht löschen?

Alt 29.04.2010, 06:56   #9
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



alslo ich hab gestern dann nochmal den malware laufen lassen. das neue outpu file ist:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4043

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

29.04.2010 01:00:05
mbam-log-2010-04-29 (01-00-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 805000
Laufzeit: 3 Stunde(n), 1 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\mts\csrss.exe (Trojan.Agent) -> Delete on reboot.
         
so wie ich das sehe ist es schon besser geworden. was ist diese csrss.exe datei und wie bekomme ich die weg?

Alt 29.04.2010, 07:05   #10
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



und den OTL hab ich gerade auch nochma drüber gejagt.

Code:
ATTFilter
OTL logfile created on: 29.04.2010 07:53:24 - Run 3
OTL by OldTimer - Version 3.2.3.0     Folder = C:\Users\mts\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18904)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 56,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 223,92 Gb Total Space | 21,08 Gb Free Space | 9,42% Space Free | Partition Type: NTFS
Drive D: | 8,96 Gb Total Space | 1,64 Gb Free Space | 18,33% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 952,19 Mb Total Space | 944,27 Mb Free Space | 99,17% Space Free | Partition Type: FAT
I: Drive not present or media not loaded
 
Computer Name: MTS-PC
Current User Name: mts
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\mts\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
PRC - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_e2247046\stacsv.exe (IDT, Inc.)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Windows\System32\hasplms.exe (Aladdin Knowledge Systems Ltd.)
PRC - \\?\C:\Windows\System32\wbem\WMIADAP.EXE ()
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
PRC - C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corporation)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansysli_server.exe (ANSYS, Inc.)
PRC - C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansysli_monitor.exe ()
PRC - C:\Windows\SMINST\BLService.exe ()
PRC - C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansyslmd.exe ()
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
PRC - C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\lmgrd.exe (Macrovision Corporation)
PRC - C:\Program Files\Trust\Trust R-Series Mouse\KMWDSrv.exe (UASSOFT.COM)
PRC - C:\Program Files\Trust\Trust R-Series Mouse\KMCONFIG.exe (UASSOFT.COM)
PRC - C:\Program Files\Trust\Trust R-Series Mouse\KMProcess.exe (UASSOFT.COM)
PRC - C:\Program Files\Trust\Trust R-Series Mouse\StartAutorun.exe (UASSOFT.COM)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\mts\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (NMSAccess) -- C:\Program Files\CDBurnerXP\NMSAccessU.exe ()
SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation)
SRV - (STacSV) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_e2247046\stacsv.exe (IDT, Inc.)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (hasplms) -- C:\Windows\System32\hasplms.exe (Aladdin Knowledge Systems Ltd.)
SRV - (wlidsvc) -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
SRV - (ANSYS, Inc. License Manager) -- C:\Program Files\ANSYS Inc\Shared Files\Licensing\win32\ansysli_server.exe (ANSYS, Inc.)
SRV - (Recovery Service for Windows) -- C:\Windows\SMINST\BLService.exe ()
SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
SRV - (ezSharedSvc) -- C:\Windows\System32\ezsvc7.dll (EasyBits Sofware AS)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation)
SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation)
SRV - (KMWDSERVICE) -- C:\Program Files\Trust\Trust R-Series Mouse\KMWDSrv.exe (UASSOFT.COM)
SRV - (SentinelProtectionServer) -- C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe (SafeNet, Inc)
SRV - (SentinelKeysServer) -- C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe (SafeNet, Inc.)
SRV - (MSC.Licensing 10.8) -- C:\Program Files\MSC NASTRAN\lmgrd.exe (Macrovision Corporation)
SRV - (WebDriveService) -- C:\Program Files\NetDrive\wdService.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (StarOpen) -- C:\Windows\System32\drivers\StarOpen.sys ()
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.)
DRV - (VClone) -- C:\Windows\System32\drivers\VClone.sys (Elaborate Bytes AG)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (winusb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (hardlock) -- C:\Windows\System32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.)
DRV - (ElbyCDIO) -- C:\Windows\System32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (avgio) -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (aksfridge) -- C:\Windows\System32\drivers\aksfridge.sys (Aladdin Knowledge Systems Ltd.)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (NETw5v32) Intel(R) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation)
DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (RTL8169) -- C:\Windows\System32\drivers\Rtlh86.sys (Realtek Corporation                                            )
DRV - (JMCR) -- C:\Windows\System32\drivers\jmcr.sys (JMicron Technology Corp.)
DRV - (hpdskflt) -- C:\Windows\system32\DRIVERS\hpdskflt.sys (Hewlett-Packard Corporation)
DRV - (Accelerometer) -- C:\Windows\System32\drivers\Accelerometer.sys (Hewlett-Packard Corporation)
DRV - (enecir) -- C:\Windows\System32\drivers\enecir.sys (ENE TECHNOLOGY INC.)
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (winachsf) -- C:\Windows\System32\drivers\VSTCNXT3.SYS (Conexant Systems, Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (HSF_DPV) -- C:\Windows\System32\drivers\VSTDPV3.SYS (Conexant Systems, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (HSFHWAZL) -- C:\Windows\System32\drivers\VSTAZL3.SYS (Conexant Systems, Inc.)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (SynTP) -- C:\Windows\System32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (HpqRemHid) -- C:\Windows\System32\drivers\HpqRemHid.sys (Hewlett-Packard Development Company, L.P.)
DRV - (HpqKbFiltr) -- C:\Windows\System32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (Sentinel) -- C:\Windows\System32\Drivers\SENTINEL.SYS (SafeNet, Inc.)
DRV - (RBC9SpaceNavigator) -- C:\Windows\System32\drivers\RBC9-SpaceNav.sys ([RBC9-X11])
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvm60x32.sys (NVIDIA Corporation)
DRV - (BCM43XV) -- C:\Windows\System32\drivers\BCMWL6.SYS (Broadcom Corporation)
DRV - (NSNDIS5) -- C:\Windows\System32\nsndis5.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (RFNP32) -- C:\Windows\System32\RFNP32.dll (River Front Software)
DRV - (WebDriveFSD) -- C:\Program Files\NetDrive\rffsd.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.mini20.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = ftp=127.0.0.1:4001;http=127.0.0.1:4001;https=127.0.0.1:4001;socks=127.0.0.1:4001
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..browser.search.selectedEngine: "Google (Language: DE)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://olympia.zdf.de/ZDFsport/inhalt/15/0,5676,8033519,00.html"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3
FF - prefs.js..extensions.enabledItems: {1018e4d6-728f-4b20-ad56-37578a4de76b}:4.0.3
FF - prefs.js..extensions.enabledItems: {35106bca-6c78-48c7-ac28-56df30b51d2a}:1.3.8
FF - prefs.js..extensions.enabledItems: {ec268e28-22c6-4a6c-ac22-635cabee283c}:1.0.1
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.2
FF - prefs.js..extensions.enabledItems: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}:1.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p="
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.04.03 11:15:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.04.28 22:13:55 | 000,000,000 | ---D | M]
 
[2009.02.21 15:32:39 | 000,000,000 | ---D | M] -- C:\Users\mts\AppData\Roaming\mozilla\Extensions
[2010.04.28 15:46:31 | 000,000,000 | ---D | M] -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions
[2010.04.03 19:30:01 | 000,000,000 | ---D | M] (Flagfox) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
[2009.09.02 20:00:05 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.02.22 15:54:08 | 000,000,000 | ---D | M] (Linkification) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{35106bca-6c78-48c7-ac28-56df30b51d2a}
[2010.04.03 19:30:01 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.01.07 16:33:31 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.02.22 15:54:08 | 000,000,000 | ---D | M] (Plain Text Links) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{ec268e28-22c6-4a6c-ac22-635cabee283c}
[2010.03.22 12:55:16 | 000,000,000 | ---D | M] (FoxTab) -- C:\Users\mts\AppData\Roaming\mozilla\Firefox\Profiles\0pcufrrk.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
[2010.03.26 12:50:54 | 000,001,820 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\bing.xml
[2009.11.16 00:05:38 | 000,001,805 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\google-language-de.xml
[2009.11.08 15:43:35 | 000,002,108 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\qtl.xml
[2010.03.23 15:28:58 | 000,001,905 | ---- | M] () -- C:\Users\mts\AppData\Roaming\Mozilla\FireFox\Profiles\0pcufrrk.default\searchplugins\semager.xml
[2010.04.28 08:30:47 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2009.06.08 20:11:23 | 000,000,000 | ---D | M] (pdfforge Toolbar Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
[2010.04.28 08:30:47 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2009.06.08 20:11:23 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.01.25 18:13:31 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.25 18:13:31 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.25 18:13:31 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.25 18:13:31 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.25 18:13:31 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll (GreenTree Applications, Inc.)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll (GreenTree Applications, Inc.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [KMCONFIG] C:\Program Files\Trust\Trust R-Series Mouse\StartAutorun.exe KMConfig.exe File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Program Files\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program Files\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, Inc.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Ranges: Range1 ([http] in Local intranet)
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} file:///C:/Program%20Files/proeWildfire%203.0/i486_nt/obj/pvx_install.exe (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D6E0B119-DCF2-4CD6-8DFB-7CFF1B70F7FF} https://bis.eu.blackberry.com/html/web/client_tools/TOImport.cab (TeamOn Import Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.129.23.110 192.168.111.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.23 10:05:53 | 000,000,123 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{32a5e8a0-ad06-11de-910d-00238b0b7982}\Shell - "" = AutoRun
O33 - MountPoints2\{32a5e8a0-ad06-11de-910d-00238b0b7982}\Shell\AutoRun\command - "" = F:\Autorun.exe -- File not found
O33 - MountPoints2\{680b5944-630d-11de-ab8f-00238b0b7982}\Shell\AutoRun\command - "" = H:\APOTEKA\\\\\\BRENINA.exe -- File not found
O33 - MountPoints2\{680b5944-630d-11de-ab8f-00238b0b7982}\Shell\explore\command - "" = H:\APOTEKA\\\\\\BRENINA.exe -- File not found
O33 - MountPoints2\{680b5944-630d-11de-ab8f-00238b0b7982}\Shell\open\command - "" = H:\APOTEKA\\\\\\BRENINA.exe -- File not found
O33 - MountPoints2\{af4f3379-3ef0-11df-b683-00238b0b7982}\Shell\AutoRun\command - "" = I:\BOMBOM\dokazehehe.exe -- File not found
O33 - MountPoints2\{af4f3379-3ef0-11df-b683-00238b0b7982}\Shell\open\command - "" = I:\BOMBOM\dokazehehe.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.04.28 08:30:36 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2010.04.28 08:30:36 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.04.28 08:30:36 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.04.28 08:30:36 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.04.27 21:48:10 | 000,563,712 | ---- | C] (OldTimer Tools) -- C:\Users\mts\Desktop\OTL.exe
[2010.04.27 21:29:49 | 000,000,000 | ---D | C] -- C:\Users\mts\AppData\Roaming\Malwarebytes
[2010.04.27 21:29:39 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.04.27 21:29:36 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.04.27 21:29:36 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010.04.27 21:29:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.04.27 21:26:37 | 000,000,000 | -HSD | C] -- C:\Users\mts\AppData\Roaming\lowsec
[2010.04.27 21:04:14 | 000,000,000 | ---D | C] -- C:\Users\mts\Desktop\USB
[2010.04.26 09:59:56 | 000,000,000 | ---D | C] -- C:\Users\mts\Desktop\10 copies linear
[2010.04.25 19:31:24 | 000,000,000 | ---D | C] -- C:\Users\mts\AppData\Roaming\Real
[2010.04.24 16:30:04 | 000,000,000 | ---D | C] -- C:\Users\mts\Desktop\Diplomarbeit 4
[2010.04.24 16:29:47 | 277,936,872 | ---- | C] (Microsoft Corporation) -- C:\Users\mts\Desktop\WindowsXP-KB835935-SP2-DEU.exe
[2010.04.14 23:45:20 | 000,420,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\vbscript.dll
[2010.04.14 23:45:18 | 003,600,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2010.04.14 23:45:18 | 003,548,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2010.04.14 23:45:09 | 000,220,672 | ---- | C] (Fraunhofer Institut Integrierte Schaltungen IIS) -- C:\Windows\System32\l3codecp.acm
[2010.04.14 23:45:09 | 000,062,464 | ---- | C] (Fraunhofer Institut Integrierte Schaltungen IIS) -- C:\Windows\System32\l3codeca.acm
[2010.04.07 23:12:26 | 000,000,000 | ---D | C] -- C:\Users\mts\Desktop\Sport
[2010.04.07 23:12:15 | 000,000,000 | ---D | C] -- C:\Users\mts\Desktop\Media
[2010.04.03 00:02:58 | 000,000,000 | ---D | C] -- C:\Program Files\CD Wave
[2010.04.02 20:08:37 | 000,000,000 | ---D | C] -- C:\Users\mts\AppData\Roaming\Cycling '74
[2010.04.02 17:19:02 | 000,000,000 | ---D | C] -- C:\Users\mts\Reason
[2010.04.02 09:38:33 | 000,368,640 | ---- | C] (Propellerhead Software AB) -- C:\Windows\System32\ReWire.dll
[2010.04.02 09:38:33 | 000,233,472 | ---- | C] (Propellerhead Software AB) -- C:\Windows\System32\REX Shared Library.dll
[2010.04.02 09:33:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Propellerhead Software
[2010.04.02 09:33:39 | 000,000,000 | ---D | C] -- C:\Users\mts\AppData\Roaming\Propellerhead Software
[2010.04.02 09:32:53 | 000,000,000 | ---D | C] -- C:\Program Files\Propellerhead
[2010.03.31 08:30:13 | 001,469,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2010.03.31 08:30:13 | 000,611,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll
[2010.03.31 08:30:13 | 000,594,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2010.03.31 08:30:13 | 000,387,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll
[2010.03.31 08:30:13 | 000,164,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2010.03.31 08:30:12 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2010.03.31 08:30:12 | 000,184,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll
[2010.03.31 08:30:12 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ie4uinit.exe
[2010.03.31 08:30:12 | 000,133,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2010.03.31 08:30:12 | 000,109,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesysprep.dll
[2010.03.31 08:30:12 | 000,071,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesetup.dll
[2010.03.31 08:30:12 | 000,055,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iernonce.dll
[2010.03.31 08:30:12 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll
[2010.03.31 08:30:12 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2010.03.31 08:30:12 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe
[2010.03.30 18:17:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[1 C:\Users\mts\*.tmp files -> C:\Users\mts\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.04.29 07:53:49 | 001,541,724 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.04.29 07:53:49 | 000,664,282 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.04.29 07:53:49 | 000,625,582 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.04.29 07:53:49 | 000,142,622 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.04.29 07:53:49 | 000,117,144 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.04.29 07:52:08 | 003,932,160 | -HS- | M] () -- C:\Users\mts\ntuser.dat
[2010.04.29 07:50:18 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2010.04.29 07:50:05 | 000,000,422 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{105A9444-2BD4-4557-A359-99A7B8F4EE5B}.job
[2010.04.29 07:49:01 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.29 07:48:22 | 000,096,107 | ---- | M] () -- C:\ProgramData\nvModes.001
[2010.04.29 07:48:13 | 000,096,107 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2010.04.29 07:48:11 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.29 07:48:05 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.04.29 07:48:03 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.04.29 07:47:48 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.04.29 07:47:46 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.04.29 07:47:43 | 3218,296,832 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.29 01:08:10 | 000,524,288 | -HS- | M] () -- C:\Users\mts\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2010.04.29 01:08:10 | 000,065,536 | -HS- | M] () -- C:\Users\mts\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2010.04.29 01:08:01 | 004,101,365 | -H-- | M] () -- C:\Users\mts\AppData\Local\IconCache.db
[2010.04.29 01:02:43 | 000,437,608 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.04.28 21:21:49 | 000,002,481 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Visio 2007.lnk
[2010.04.28 15:17:06 | 000,474,624 | ---- | M] () -- C:\Users\mts\Documents\20100428_Aufspannplatte_1.vsd
[2010.04.28 14:51:02 | 000,000,250 | ---- | M] () -- C:\Users\mts\Documents\std.out
[2010.04.28 14:05:49 | 000,001,218 | ---- | M] () -- C:\Users\mts\Documents\pruefstand.crc
[2010.04.28 14:00:43 | 000,002,695 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Outlook 2007.lnk
[2010.04.28 13:03:01 | 000,097,792 | ---- | M] () -- C:\Users\mts\Documents\20100428_Bemaßung.vsd
[2010.04.28 01:03:02 | 306,252,291 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.04.27 22:24:12 | 000,000,169 | ---- | M] () -- C:\Users\mts\Documents\std.err
[2010.04.27 21:46:42 | 000,563,712 | ---- | M] (OldTimer Tools) -- C:\Users\mts\Desktop\OTL.exe
[2010.04.27 21:30:43 | 000,293,376 | ---- | M] () -- C:\Users\mts\Desktop\0gvgm5qd.exe
[2010.04.27 21:29:42 | 000,000,778 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.26 21:19:07 | 000,002,593 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Excel 2007.lnk
[2010.04.26 12:34:17 | 000,044,544 | ---- | M] () -- C:\Users\mts\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.26 10:10:59 | 000,000,425 | ---- | M] () -- C:\Windows\BRWMARK.INI
[2010.04.26 10:10:59 | 000,000,027 | ---- | M] () -- C:\Windows\BRPP2KA.INI
[2010.04.25 15:14:13 | 000,002,591 | ---- | M] () -- C:\Users\mts\Desktop\Microsoft Office Word 2007.lnk
[2010.04.21 15:39:36 | 000,143,460 | ---- | M] () -- C:\Users\mts\Desktop\Termine-FEM-Pr-2010-SS.pdf
[2010.04.19 17:09:13 | 000,035,328 | ---- | M] () -- C:\Users\mts\Documents\20100419_Winkelmessung.vsd
[2010.04.19 10:03:41 | 000,220,404 | ---- | M] () -- C:\Users\mts\Documents\Systembeschreibung_3.0.pdf
[2010.04.18 19:43:08 | 000,074,935 | ---- | M] () -- C:\Users\mts\Documents\Herzliche Einladung.docx
[2010.04.17 23:50:34 | 002,666,612 | ---- | M] () -- C:\01 -  - version1.wav.MP3
[2010.04.17 23:45:56 | 002,061,265 | ---- | M] () -- C:\Users\mts\Desktop\01 -  - version1.ogg
[2010.04.17 15:45:53 | 000,058,880 | ---- | M] () -- C:\Users\mts\Documents\20100417_Zylinderlagerung_Var1.vsd
[2010.04.15 08:23:11 | 000,000,039 | ---- | M] () -- C:\Windows\vbaddin.ini
[2010.04.14 00:06:08 | 000,090,112 | ---- | M] () -- C:\Users\mts\Documents\20100413_Lagerungen.vsd
[2010.04.12 18:45:50 | 000,002,033 | ---- | M] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2010.04.12 17:29:27 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.04.12 17:29:26 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.04.12 17:29:25 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2010.04.12 12:00:17 | 000,010,480 | ---- | M] () -- C:\Users\mts\Documents\20100412_Wölbkrafttorsion.docx
[2010.04.06 22:11:24 | 000,115,712 | ---- | M] () -- C:\Users\mts\Documents\homepage.pub
[2010.04.05 22:16:39 | 000,187,379 | ---- | M] () -- C:\Users\mts\Documents\Hosteurope.pdf
[2010.04.03 11:14:52 | 000,001,449 | ---- | M] () -- C:\Users\mts\AppData\Local\RecConfig.xml
[2010.04.03 11:06:39 | 037,060,652 | ---- | M] () -- C:\01 -  - shesgotthatlight.wav
[2010.04.03 10:35:16 | 023,511,084 | ---- | M] () -- C:\01 -  - version1.wav
[2010.04.02 17:25:10 | 002,129,964 | ---- | M] () -- C:\01 -  - z6.wav
[2010.04.02 17:24:10 | 002,244,652 | ---- | M] () -- C:\01 -  - z5.wav
[2010.04.02 17:22:52 | 002,359,340 | ---- | M] () -- C:\01 -  - z4.wav
[2010.04.02 17:21:48 | 002,228,268 | ---- | M] () -- C:\01 -  - z2.wav
[2010.04.02 17:20:52 | 002,424,876 | ---- | M] () -- C:\01 -  - z1.wav
[2010.04.02 14:49:00 | 000,848,258 | ---- | M] () -- C:\Users\mts\Documents\torsion.pdf
[2010.04.02 09:38:33 | 000,368,640 | ---- | M] (Propellerhead Software AB) -- C:\Windows\System32\ReWire.dll
[2010.04.02 09:38:33 | 000,233,472 | ---- | M] (Propellerhead Software AB) -- C:\Windows\System32\REX Shared Library.dll
[2010.04.01 20:42:55 | 000,001,971 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2010.03.30 11:51:01 | 000,013,037 | ---- | M] () -- C:\Users\mts\Documents\20090810_Notenrechner.xlsx
[1 C:\Users\mts\*.tmp files -> C:\Users\mts\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.04.28 15:17:05 | 000,474,624 | ---- | C] () -- C:\Users\mts\Documents\20100428_Aufspannplatte_1.vsd
[2010.04.28 11:03:38 | 000,097,792 | ---- | C] () -- C:\Users\mts\Documents\20100428_Bemaßung.vsd
[2010.04.28 00:30:10 | 000,293,376 | ---- | C] () -- C:\Users\mts\Desktop\0gvgm5qd.exe
[2010.04.27 21:29:42 | 000,000,778 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.21 15:39:36 | 000,143,460 | ---- | C] () -- C:\Users\mts\Desktop\Termine-FEM-Pr-2010-SS.pdf
[2010.04.19 17:09:12 | 000,035,328 | ---- | C] () -- C:\Users\mts\Documents\20100419_Winkelmessung.vsd
[2010.04.19 10:03:41 | 000,220,404 | ---- | C] () -- C:\Users\mts\Documents\Systembeschreibung_3.0.pdf
[2010.04.18 18:08:33 | 000,074,935 | ---- | C] () -- C:\Users\mts\Documents\Herzliche Einladung.docx
[2010.04.17 23:50:34 | 002,666,612 | ---- | C] () -- C:\01 -  - version1.wav.MP3
[2010.04.17 23:46:57 | 002,061,265 | ---- | C] () -- C:\Users\mts\Desktop\01 -  - version1.ogg
[2010.04.17 15:45:52 | 000,058,880 | ---- | C] () -- C:\Users\mts\Documents\20100417_Zylinderlagerung_Var1.vsd
[2010.04.13 19:30:47 | 000,090,112 | ---- | C] () -- C:\Users\mts\Documents\20100413_Lagerungen.vsd
[2010.04.12 18:45:50 | 000,002,033 | ---- | C] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2010.04.12 12:00:17 | 000,010,480 | ---- | C] () -- C:\Users\mts\Documents\20100412_Wölbkrafttorsion.docx
[2010.04.06 22:11:24 | 000,115,712 | ---- | C] () -- C:\Users\mts\Documents\homepage.pub
[2010.04.05 22:16:39 | 000,187,379 | ---- | C] () -- C:\Users\mts\Documents\Hosteurope.pdf
[2010.04.03 10:43:29 | 037,060,652 | ---- | C] () -- C:\01 -  - shesgotthatlight.wav
[2010.04.03 10:29:34 | 023,511,084 | ---- | C] () -- C:\01 -  - version1.wav
[2010.04.02 17:24:58 | 002,129,964 | ---- | C] () -- C:\01 -  - z6.wav
[2010.04.02 17:23:19 | 002,244,652 | ---- | C] () -- C:\01 -  - z5.wav
[2010.04.02 17:22:38 | 002,359,340 | ---- | C] () -- C:\01 -  - z4.wav
[2010.04.02 17:21:36 | 002,228,268 | ---- | C] () -- C:\01 -  - z2.wav
[2010.04.02 17:20:39 | 002,424,876 | ---- | C] () -- C:\01 -  - z1.wav
[2010.04.02 14:49:00 | 000,848,258 | ---- | C] () -- C:\Users\mts\Documents\torsion.pdf
[2010.03.18 10:35:42 | 000,007,168 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys
[2010.02.06 20:09:28 | 000,027,648 | ---- | C] () -- C:\Windows\System32\AVSredirect.dll
[2009.11.23 20:13:43 | 000,137,544 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2009.10.21 08:52:08 | 000,000,162 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.10.07 15:26:40 | 000,020,480 | ---- | C] () -- C:\Windows\System32\maplecompat.dll
[2009.10.07 15:26:39 | 000,212,992 | ---- | C] () -- C:\Windows\System32\WMIMPLEX.dll
[2009.10.07 15:26:39 | 000,031,232 | ---- | C] () -- C:\Windows\System32\maplec.dll
[2009.10.04 15:46:05 | 000,225,280 | ---- | C] () -- C:\Windows\System32\rfwdres.dll
[2009.10.04 15:46:05 | 000,036,864 | ---- | C] () -- C:\Windows\System32\rfhres.dll
[2009.10.04 15:46:05 | 000,024,576 | ---- | C] () -- C:\Windows\System32\rfstrres.dll
[2009.10.04 15:46:05 | 000,024,576 | ---- | C] () -- C:\Windows\System32\rfshres.dll
[2009.10.04 15:46:04 | 000,503,808 | ---- | C] () -- C:\Windows\System32\RFHelper.dll
[2009.10.04 15:46:04 | 000,126,976 | ---- | C] () -- C:\Windows\System32\rfshext.dll
[2009.09.22 21:50:53 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2009.09.22 21:50:53 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2009.09.11 10:56:31 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009.06.16 22:50:43 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2009.06.08 20:10:52 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2009.02.17 02:36:58 | 000,085,504 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2008.12.07 14:08:06 | 000,795,648 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008.12.07 14:08:04 | 000,130,048 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2008.09.12 16:21:02 | 000,000,547 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll.manifest
[2007.11.06 19:24:30 | 000,041,984 | ---- | C] () -- C:\Windows\System32\spwini.dll
[2007.09.04 12:56:10 | 000,164,352 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2007.02.05 21:05:26 | 000,000,038 | ---- | C] () -- C:\Windows\AviSplitter.INI
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.03.09 11:58:00 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2003.01.25 11:52:14 | 000,131,072 | ---- | C] () -- C:\Windows\System32\libFLAC.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:24051EFF
< End of report >
         

außerdem hab ich schon mal von einem sauberen PC aus meine passwörter geändert.

wie schätzt ihr die lage ein? wie sehr ist mein rechner noch verseucht? und kann ich nochwas bereinigen?

danke schon mal!

Alt 29.04.2010, 16:13   #11
StLB
/// Helfer-Team
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



Hm... wir könnens ja mal versuchen.

GMER hast du dir schon runtergeladen? 0gvgm5qd.exe?
Dann bitte mal eine Rootkitscan damit machen.
__________________
Gruß, Julian

Kein Support per PM!

Spendemöglichkeit: Make a Donation

Alt 29.04.2010, 18:36   #12
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



hab ich schon versucht. promlem ist, dass es bei mir immer abstüzt. es läuft erstn ne weile und bricht dann mit einer windows fehlermeldung ab. unten wo die pfade angezeigt werden was er gerade durchsucht steht als letztes:

\Device\HarddiskVolumeShadowCopy1

Alt 29.04.2010, 19:04   #13
StLB
/// Helfer-Team
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



Zum Glück haben wir da noch Alternativen


Rootkitscan mit Sophos Anti-Rootkit
  • Lade Sophos Anti-Rootkit-Scanner herunter.
  • Für den Download ist eine Registrierung notwendig.
  • Installiere Sophos Anti-Rootkit mit einem Doppelklick auf sarsfx.exe
  • Vista User: Rechtsklick auf sarsfx.exe ---> „Als Administrator ausführen“
  • Akzeptiere die Lizenzbestimmungen und lasse das Programm in den vorgegebenen Pfad c:\programme\sophos\sophos anti-rootkit installieren.
  • Öffne in diesem Ordner schließlich sargui.exe, um das Programm zu starten.
  • Lasse unter Area alle Optionen angehakt und klicke auf Start Scan.
  • Wenn der Scan fertig, beende Sophos Anti-Rootkit.
  • Öffne den Explorer und gib in die Adresszeile ein: %temp%
  • In diesem Ordner findest du sarscan.log
  • Öffne sie mit dem Notepad und poste mir den Inhalt in dem Thread.
__________________
Gruß, Julian

Kein Support per PM!

Spendemöglichkeit: Make a Donation

Alt 29.04.2010, 22:53   #14
mts4711
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



hier das sophos anti-rootkit file:

Code:
ATTFilter
Sophos Anti-Rootkit Version 1.5.0  (c) 2009 Sophos Plc
Started logging on 29.04.2010 at 20:37:20
User "mts" on computer "MTS-PC"
Windows version 6.0 SP 2.0 Service Pack 2 build 6002 SM=0x300 PT=0x1 Win32
Info:	Starting process scan.
Info:	Starting registry scan.
Hidden:	registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\CTF\Assemblies\0x00000409
Info:	Starting disk scan of C: (NTFS).
Hidden:	file C:\Program Files\HP\QuickPlay\Kernel\Partner\DVD.exe
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\fo=chanrot&wefo=aff&wefo=ltk&wefo=cpc&wefo=bht&wefo=old&SOI_UPC=old&wefo=pu1&wefo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\3378,13464,13489,13490,13491,13493,13494,16837,27030,29728,29970,34085,38293,45915,47898,76665,76825,79003,86345,87405&Redirect=;ord=dogRtve,bfabjtvddstwo[1].htm
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[3]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[4]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\efo=fb2&wefo=rt2&wefo=sc1&windowheight=2665&windowwidth=1260&agofid=1504kinochan&bw=273&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_1&nabt=LTKP_1[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\&special=rectangle&adsize=310x120&params[1].styles=hp_promobox_html%2Chp_promobox_img&pageview=ng_outer&pageview=vi_first_time&tile=08453839863343243012345678910a
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\efo=rt1&wefo=rt2&wefo=sc1&windowheight=1338&windowwidth=1260&agofid=1504kinochan&bw=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\t&wefo=aff&wefo=ltk&wefo=cpc&wefo=bht&wefo=old&SOI_UPC=old&wefo=pu1&wefo=fb2&wefo=rt1&wefo=rt2&wefo=sc1&windowheight=1338&windowwidth=1260&agofid=1504kinochan[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\=283&nabt=10000&nabt=-10&nabt=-00&nabt=0000&nabt=326&nabt=PSO_6&nabt=LTKP_1&sowefo_ausschluss=super_block_728w_ext_rectangle2&sowefo_ausschluss=fb2_rectangle2[3]
Hidden:	file C:\Program Files\eRightSoft\SUPER\mencoder\mencoder.exe
Hidden:	file C:\Program Files\eRightSoft\SUPER\mencoder\mplayer.exe
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\WVjOWIzODA2NwBJAjMAAAA=,,http%3A%2F%2Fwww.welt.de%2Ffernsehen%2Farticle6754539%2F4-5-millionen-zuschauer-sahen-lena-meyer-landrut[1].html,;sz=728x90;ord=1268478919
Hidden:	file C:\Users\mts\Documents\USB Update\CD - Bosch-Rexroth, Hofmann\NISA-Rechnung\3. Automesh-Versuche\3. Berechnungen\3. Berechnungen am Abschnitt links oben\1\2d-planar_medium_Sizing-method_edge-length_Aim_length-value=3_Linear-Sweep_Distance=10_Copies=3_R.dbs
Hidden:	file C:\Users\mts\Documents\USB Update\CD - Bosch-Rexroth, Hofmann\NISA-Rechnung\3. Automesh-Versuche\3. Berechnungen\3. Berechnungen am Abschnitt links oben\1\2d-planar_medium_Sizing-method_edge-length_Aim_length-value=3_Linear-Sweep_Distance=10_Copies=3_R.nis
Hidden:	file C:\Users\mts\Documents\USB Update\CD - Bosch-Rexroth, Hofmann\NISA-Rechnung\3. Automesh-Versuche\3. Berechnungen\3. Berechnungen am Abschnitt links oben\1\medium_Sizing-method_edge-length_Aim_length-value=3_Linear-Sweep_Distance=10_Copies=3_Rigid-Links.TIF
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\top&adsize=468x60&content=webde&pageview=ng_outer&adsize=728x90&pageview=loggedin&pageview=no_tprof&pg=w&pa=30&pp=D__97500&pn=3B&bd=0&si=K_AtDBDZByUT6NNXUfZ_023[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\top&adsize=468x60&content=webde&pageview=ng_outer&adsize=728x90&pageview=loggedin&pageview=no_tprof&pg=w&pa=30&pp=D__97076&pn=3B&bd=0&si=k3AFBJ8oDrPMMIx5Eej_025[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\efo=sc1&sowefo=va&wefo=va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\efo=va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[1].xml
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\efo=va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RWF04DL7\va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[2].xml
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\wefo=old&SOI_UPC=old&wefo=pu1&wefo=fb2&soi_aussschluss=frame&agofid=nullundefined&bw=85&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1[2]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\12892,12893,13097,13378,13494,14534,16583,16584,27031,29729,29930,29931,29969,34085,38293,45915,76524,76666,76825,79003&Redirect=;ord=cfkfudu,beAnaWcRawKa[1].htm
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\wefo=old&SOI_UPC=old&wefo=pu1&wefo=fb2&soi_aussschluss=frame&agofid=nullundefined&bw=85&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1[1]
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R6E4KBEZ\va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[1].xml
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[1].xml
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NSRKY1RF\va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[2].xml
Hidden:	file C:\Users\mts\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U2OQOLRF\va1&wefo=va2&wefo=va3&soi_aussschluss=frame&agofid=nullundefined&nabt=10001&nabt=-10&nabt=-00&nabt=0001&nabt=334&nabt=PSO_2&nabt=LTKP_1&order_id=11649_037[1].xml
Hidden:	file C:\Recovery-Toshiba\Dokumente und Einstellungen\All Users\Dokumente\Backup\sonstiges\Neuer Ordner (3)\Sommersemester 07\microburner.exe
Hidden:	file C:\Recovery-Toshiba\Programme\eRightSoft\SUPER\mencoder\mencoder.exe
Hidden:	file C:\Recovery-Toshiba\Programme\eRightSoft\SUPER\mencoder\mplayer.exe
Info:	Starting disk scan of D: (NTFS).
Stopped logging on 29.04.2010 at 23:13:33
         
ich persönlich frag mich ja wie man da was herauslesen kann...

Alt 30.04.2010, 18:27   #15
StLB
/// Helfer-Team
 
Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Standard

Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.



Das Logfile ist imho sauber.
Das Rootkit aus dem ersten OTL-Log (yviityx.sys) ist jetzt irgendwie weg!


Fixen mit OTL
  • Starte bitte die OTL.exe.
    Vista-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [KMCONFIG] C:\Program Files\Trust\Trust R-Series Mouse\StartAutorun.exe KMConfig.exe File not found
O13 - gopher Prefix: missing
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} file:///C:/Program%20Files/proeWildfire%203.0/i486_nt/obj/pvx_install.exe (Reg Error: Key error.)
O33 - MountPoints2\{32a5e8a0-ad06-11de-910d-00238b0b7982}\Shell - "" = AutoRun
O33 - MountPoints2\{32a5e8a0-ad06-11de-910d-00238b0b7982}\Shell\AutoRun\command - "" = F:\Autorun.exe -- File not found
O33 - MountPoints2\{680b5944-630d-11de-ab8f-00238b0b7982}\Shell\AutoRun\command - "" = H:\APOTEKA\\\\\\BRENINA.exe -- File not found
O33 - MountPoints2\{680b5944-630d-11de-ab8f-00238b0b7982}\Shell\explore\command - "" = H:\APOTEKA\\\\\\BRENINA.exe -- File not found
O33 - MountPoints2\{680b5944-630d-11de-ab8f-00238b0b7982}\Shell\open\command - "" = H:\APOTEKA\\\\\\BRENINA.exe -- File not found
O33 - MountPoints2\{af4f3379-3ef0-11df-b683-00238b0b7982}\Shell\AutoRun\command - "" = I:\BOMBOM\dokazehehe.exe -- File not found
O33 - MountPoints2\{af4f3379-3ef0-11df-b683-00238b0b7982}\Shell\open\command - "" = I:\BOMBOM\dokazehehe.exe -- File not found
[2010.04.27 21:26:37 | 000,000,000 | -HSD | C] -- C:\Users\mts\AppData\Roaming\lowsec
:Services
:Reg
:Files
C:\Windows\System32\drivers\yviityx.sys 
:Commands
[resethosts]
[emptytemp]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Run Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere nun den Inhalt hier in Deinen Thread


Danach bitte mit SUPERAntiSpyware scannen.
__________________
Gruß, Julian

Kein Support per PM!

Spendemöglichkeit: Make a Donation

Antwort




Ähnliche Themen: Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.


  1. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  2. TR/Dldr.Small.baxe und TR/Dldr.Small.baxg. Ich krieg sie nicht mehr los!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  3. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  4. Ertfor.B.30 und Dldr.Agent.dmgo machen meinem Rechner zu schaffen
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (2)
  5. Versch. Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.
    Plagegeister aller Art und deren Bekämpfung - 28.04.2010 (8)
  6. Verschiedene Trojaner: Dldr.A.hlx, Ertfor.A.45, Dropper.Gen
    Log-Analyse und Auswertung - 27.04.2010 (4)
  7. Trojaner TR/Dldr.Small.dxg.1 und auch Win32.agent.azk
    Log-Analyse und Auswertung - 14.03.2009 (11)
  8. Antivir: Small.Ga und dldr Agent
    Log-Analyse und Auswertung - 07.01.2006 (1)
  9. Trojaner TR/DLDR.Agent bzw. TR/small
    Log-Analyse und Auswertung - 04.01.2006 (7)
  10. Trojaner TR/Dldr.small.alr.1
    Log-Analyse und Auswertung - 27.07.2005 (4)
  11. Trojaner Dldr.Small.UV.3 und Small.AR.1.C
    Log-Analyse und Auswertung - 14.03.2005 (6)
  12. Trojaner TR/DLdr.Small.qd
    Log-Analyse und Auswertung - 16.11.2004 (4)
  13. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  14. HILFE, dldr.agent.cb und dldr.small.or
    Log-Analyse und Auswertung - 11.10.2004 (4)
  15. Trojaner TR/DLdr.Small.SE
    Plagegeister aller Art und deren Bekämpfung - 03.10.2004 (32)
  16. TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (7)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)

Zum Thema Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. - Hi, ich habe genau das gleiche Problem. Bekomme genau die gleichen Warnungen. Ich trau mich gar nicht den Rechner runterzufahren. Mache gerade einen malwarebytes-scan.... ich kenn mich gar nicht aus - Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B....
Archiv
Du betrachtest: Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.