Google Umleitung, System langsam

VirusQueen · 12.05.2010, 13:59

Hallo,

beim Anklicken von Google Suchergebnissen werde ich auf irgendwelche Werbeseiten weitergeleitet. Zudem ist mein Computer langsamer als sonst.
Der Virus kam folgendermaßen auf meinen Computer:
Ich wollte online eine Serie schauen, auf einer Seite wo ich dies schon öfters getan habe, leider habe ich mir da diesen „Antispyware Soft“ Virus eingefangen. Ich habe nichts runtergeladen sondern nur auf einen Link geklickt und da war er.
Durch eine Anleitung aus dem Forum (h**p://www.trojaner-board.de/85165-antispyware-soft-entfernen.html) dachte, ich wäre ihn wieder losgeworden. Das „Antispyware Soft“ war auch weg, aber da stand ein trojanisches Pferd auch schon als nächstes vor der Tür… Nach AntiVir und Spybot war es angeblich weg, aber nachdem ich dann noch mal alles (AntiVir, Spybot, rkill, CCleaner & Malwarebytes Antimalware) hab durchlaufen lassen blieb noch das Google Problem übrig (& Rechner lahm), welches auch schon Anfangs beim „Antispyware Soft“ auftrat. Ad-Aware habe ich auch drauf aber das hat auch nichts gebracht.
Nachdem ich grad die logfile hier eingefügt habe kam auch zweimal von AntiVir ein Fund mit 'koldredv' - leider konnte ich es nicht so schnell lesen wie ich panisch auf die Maus geklickt habe

CClean & mbam habe ich durchlaufen lassen (siehe unten), auch das RSIT habe ich installiert und durchlaufen lassen und die Ergebnisse sind über 20 Seiten.. habe ich da was falsch gemacht oder sollte ich das einfach auch so posten? Sorry... aber ich weiß es nicht besser...

Ich habe PC Userkenntnisse, bin aber völlig ahnungslos was den Rest angeht und würde mich sehr über eine Antwort für ‚Dummies’ freuen

Danke schon mal für eure Hilfe!

CClean: sauber

MbAM:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4091

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.05.2010 13:35:44
mbam-log-2010-05-12 (13-35-44).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 127330
Laufzeit: 7 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Larusso · 12.05.2010, 14:45

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

VirusQueen · 12.05.2010, 16:07

Also ich habe ComboFix runtergeladen (ja umbenannt) und laufen lassen. Beim Durchlauf wurde festgestellt, dass mir die Wiederherstllungs.. (irgendwas) fehlt, die aus dem Internet runtergeladen werden muss. Da ich mein Handy als Modem nutze hat das ein wenig gedauert (und zu einem Neustart gefuehrt), dann hat sich AntiVir natuerlich wieder eingestellt und bums war auch direkt ne Meldung da "Programm TR/Patched.Gen".. hab ich mal ignoriert und Combofix weiterlaufen lassen.. Jetzt steht seit 30 Minuten da, dass die Logdatei vorbereitet wird.. dauert das ewig oder hat sich der Kasten aufgehangen?

Larusso · 12.05.2010, 17:51

Schau bitte einmal ob du unter C: eine Combo-fix.txt findest
Wenn ja, poste mir diese

VirusQueen · 12.05.2010, 18:31

Und wenn nein..?
Nix am Start, hab den Rechner auch durchsucht aber nichts dergleichen gefunden

Wenn ich das Programm nochmal laufen lasse (habs nochmal versucht, alles an AntiVir & Co war auch abgestellt), passiert auch nach ueber einer halben Std nix. Muss ich geduldiger sein?
Schonmal Danke, dass du mir hilfst!

Larusso · 12.05.2010, 18:43

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

schritt 2

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Save" und speichere die Logfile als Gmer.txt auf dem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extra.txt
Gmer.txt

VirusQueen · 13.05.2010, 10:19

so, es hat etwas länger gedauert, aber hier sind die ergebnisse.
Danke für die guten anleitungen

OTL.txt

OTL logfile created on: 13.05.2010 09:25:43 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\lenovo\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 103,89 Gb Total Space | 36,12 Gb Free Space | 34,77% Space Free | Partition Type: FAT32
Drive D: | 30,38 Gb Total Space | 29,18 Gb Free Space | 96,04% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: LENOVO-A6F13EA5
Current User Name: lenovo
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.05.13 09:21:04 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\lenovo\Desktop\OTL.exe
PRC - [2010.04.01 13:42:24 | 000,405,672 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2010.04.01 13:34:40 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.30 12:41:04 | 000,337,064 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2010.03.02 11:31:26 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:30:40 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 22:13:36 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.03.26 10:20:40 | 000,315,392 | -H-- | M] (DeviceVM) -- C:\QSTART.SYS\config\DVMExportService.exe
PRC - [2009.02.11 04:13:52 | 000,532,480 | ---- | M] (Vimicro) -- C:\Programme\USB Camera\VM331_STI.EXE
PRC - [2009.01.16 17:56:42 | 000,604,776 | ---- | M] (Broadcom Corporation.) -- C:\Programme\Lenovo\Bluetooth Software\BTTray.exe
PRC - [2009.01.16 17:56:42 | 000,346,720 | ---- | M] (Broadcom Corporation.) -- C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe
PRC - [2009.01.04 12:57:28 | 004,462,464 | ---- | M] (Lenovo(Beijing)Limited) -- C:\Program Files\Lenovo\Energy Management\utility.exe
PRC - [2008.12.26 10:05:46 | 001,277,952 | ---- | M] (Lenovo (Beijing) Limited) -- C:\Program Files\Lenovo\Energy Management\Energy Management.exe
PRC - [2008.09.27 11:00:24 | 000,430,080 | ---- | M] (Lenovo Group Limited) -- C:\Program Files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe
PRC - [2008.07.20 17:45:06 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
PRC - [2008.07.20 17:45:06 | 000,182,808 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe
PRC - [2008.04.14 04:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

========== Modules (SafeList) ==========

MOD - [2010.05.13 09:21:04 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\lenovo\Desktop\OTL.exe
MOD - [2009.01.16 17:55:26 | 000,094,273 | ---- | M] (Broadcom Corporation.) -- C:\WINDOWS\system32\BtMmHook.dll
MOD - [2009.01.16 17:53:32 | 000,069,697 | ---- | M] () -- C:\Programme\Lenovo\Bluetooth Software\BTKeyInd.dll
MOD - [2008.04.14 04:00:00 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx

========== Win32 Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- -- (PEVSystemStart)
SRV - File not found [Auto | Stopped] -- -- (Norton Internet Security)
SRV - [2010.05.11 20:46:14 | 001,291,544 | ---- | M] (Lavasoft) [Auto | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2010.04.01 13:42:24 | 000,405,672 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2010.04.01 13:34:40 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.03.30 12:41:04 | 000,337,064 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2010.02.24 10:30:40 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.03.26 10:20:40 | 000,315,392 | -H-- | M] (DeviceVM) [Auto | Running] -- C:\QSTART.SYS\config\DVMExportService.exe -- (DvmMDES)
SRV - [2009.01.16 17:56:42 | 000,346,720 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe -- (btwdins)
SRV - [2008.09.27 11:00:24 | 000,430,080 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\Program Files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe -- (System_Repair_UpdateMonitor)
SRV - [2008.07.20 17:45:06 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.04.14 10:04:54 | 000,087,840 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter)

========== Driver Services (SafeList) ==========

DRV - [2010.03.01 10:07:44 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 14:24:02 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.02.04 16:53:04 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2009.10.13 22:52:16 | 000,721,904 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2009.05.11 12:49:20 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 10:12:50 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.04.02 20:13:38 | 000,103,552 | R--- | M] (QUALCOMM Incorporated) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\qscnusb.sys -- (MobileAdapter)
DRV - [2009.03.02 08:57:22 | 000,995,328 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vm331avs.sys -- (vm331avs)
DRV - [2009.02.03 07:42:32 | 000,162,816 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtsUStor.sys -- (RSUSBSTOR)
DRV - [2009.01.07 23:19:00 | 000,991,784 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2008.10.30 21:19:16 | 000,047,272 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2008.09.10 19:14:48 | 001,386,624 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)
DRV - [2008.08.28 18:39:08 | 000,048,192 | ---- | M] (Lenovo) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tvtumon.sys -- (tvtumon)
DRV - [2008.07.24 10:37:12 | 000,156,816 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2008.07.20 17:44:44 | 000,324,120 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\iaStor.sys -- (iaStor)
DRV - [2008.06.04 16:53:56 | 000,058,880 | R--- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gtuhsbus.sys -- (GTUHSBUS)
DRV - [2008.06.04 16:38:58 | 000,008,064 | R--- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gtuhsser.sys -- (GTUHSSER)
DRV - [2008.06.04 16:32:34 | 000,106,112 | R--- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gtuhs51.sys -- (GTUHSNDISIPXP)
DRV - [2008.05.30 04:46:14 | 000,534,568 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2008.04.14 04:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.04.13 14:06:40 | 000,043,008 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdagp.sys -- (amdagp)
DRV - [2008.04.13 14:06:40 | 000,040,960 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sisagp.sys -- (sisagp)
DRV - [2008.04.02 08:00:02 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.04.02 08:00:02 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008.04.02 08:00:02 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2008.02.15 06:12:08 | 005,854,752 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\igxpmp32.sys -- (ialm)
DRV - [2008.02.04 09:57:46 | 000,037,160 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2008.01.11 14:58:42 | 000,009,472 | ---- | M] (Lenovo Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AcpiVpc.sys -- (ACPIVPC)
DRV - [2008.01.10 10:59:08 | 000,081,192 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\WSVD.sys -- (WSVD)
DRV - [2007.12.06 10:41:44 | 000,220,032 | ---- | M] (Synaptics, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SynTP.sys -- (SynTP)
DRV - [2007.09.17 13:00:12 | 000,161,792 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2007.05.23 16:33:58 | 000,128,104 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\WimFltr.sys -- (WimFltr)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)
DRV - [2001.08.17 18:22:54 | 000,006,656 | ---- | M] (CMD Technology, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\cmdide.sys -- (CmdIde)
DRV - [2001.08.17 04:07:44 | 000,019,072 | ---- | M] (Adaptec, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sparrow.sys -- (Sparrow)
DRV - [2001.08.17 04:07:42 | 000,030,688 | ---- | M] (LSI Logic) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys -- (sym_u3)
DRV - [2001.08.17 04:07:40 | 000,028,384 | ---- | M] (LSI Logic) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys -- (sym_hi)
DRV - [2001.08.17 04:07:36 | 000,032,640 | ---- | M] (LSI Logic) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys -- (symc8xx)
DRV - [2001.08.17 04:07:34 | 000,016,256 | ---- | M] (Symbios Logic Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\symc810.sys -- (symc810)
DRV - [2001.08.17 03:52:22 | 000,036,736 | ---- | M] (Promise Technology, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ultra.sys -- (ultra)
DRV - [2001.08.17 03:52:20 | 000,045,312 | ---- | M] (QLogic Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ql12160.sys -- (ql12160)
DRV - [2001.08.17 03:52:20 | 000,040,320 | ---- | M] (QLogic Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ql1080.sys -- (ql1080)
DRV - [2001.08.17 03:52:18 | 000,049,024 | ---- | M] (QLogic Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ql1280.sys -- (ql1280)
DRV - [2001.08.17 03:52:16 | 000,179,584 | ---- | M] (Mylex Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys -- (dac2w2k)
DRV - [2001.08.17 03:52:12 | 000,017,280 | ---- | M] (American Megatrends Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys -- (mraid35x)
DRV - [2001.08.17 03:52:00 | 000,026,496 | ---- | M] (Advanced System Products, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\asc.sys -- (asc)
DRV - [2001.08.17 03:51:58 | 000,014,848 | ---- | M] (Advanced System Products, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\asc3550.sys -- (asc3550)
DRV - [2001.08.17 03:51:56 | 000,005,248 | ---- | M] (Acer Laboratories Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\aliide.sys -- (AliIde)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com/ [binary data]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

O1 HOSTS File: ([2010.05.09 20:59:32 | 000,393,148 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 13576 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Windows Live Toolbar Helper) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Windows Live Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Windows Live Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O4 - HKLM..\Run: [331BigDog] C:\Programme\USB Camera\VM331_STI.EXE (Vimicro)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Energy Management] C:\Program Files\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
O4 - HKLM..\Run: [EnergyUtility] C:\Program Files\Lenovo\Energy Management\utility.exe (Lenovo(Beijing)Limited)
O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\Lenovo\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: &Windows Live Search - c:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\PicNotify: DllName - PicNotify.dll - C:\WINDOWS\System32\PicNotify.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.07.03 00:42:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2008.07.03 00:41:52 | 000,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: Wmi - C:\WINDOWS\system32\wmi.dll (Microsoft Corporation)
NetSvcs: WmdmPmSp - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902109354000384)

========== Files/Folders - Created Within 90 Days ==========

[2010.05.13 09:21:02 | 000,570,880 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\lenovo\Desktop\OTL.exe
[2010.05.12 20:55:55 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\lenovo\Recent
[2010.05.12 18:16:56 | 000,000,000 | -HSD | C] -- C:\FOUND.002
[2010.05.12 17:37:46 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.05.12 17:32:54 | 000,000,000 | --SD | C] -- C:\Combo-Fix
[2010.05.12 17:00:00 | 000,000,000 | -HSD | C] -- C:\FOUND.001
[2010.05.12 14:56:18 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.05.12 14:56:17 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.05.12 14:56:17 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.05.12 14:56:17 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.05.12 14:55:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.05.12 14:52:51 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.05.12 13:44:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.05.12 13:43:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2010.05.12 13:37:59 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.05.12 13:37:58 | 000,000,000 | ---D | C] -- C:\rsit
[2010.05.11 20:49:13 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.05.11 20:49:04 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.05.11 20:36:54 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2010.05.11 20:36:44 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2010.05.11 20:36:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.05.11 20:12:11 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2010.05.10 11:54:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Anwendungsdaten\Malwarebytes
[2010.05.10 11:54:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.05.10 11:54:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.05.10 11:54:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.05.10 11:54:19 | 000,000,000 | ---D | C] -- C:\Programme\Enno
[2010.05.10 10:27:24 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.05.10 10:00:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.05.10 09:56:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Desktop\TeamViewer
[2010.05.09 18:28:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.05.09 18:26:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.05.09 18:24:27 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.05.09 18:24:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.05.09 16:27:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Lokale Einstellungen\Anwendungsdaten\cafvpwssu
[2010.05.09 16:26:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.05.04 12:02:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Anwendungsdaten\Avira
[2010.05.04 11:57:32 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.05.04 11:57:31 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.05.04 11:57:31 | 000,102,856 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avfwot.sys
[2010.05.04 11:57:31 | 000,079,432 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avfwim.sys
[2010.05.04 11:57:31 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.05.04 11:57:31 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.05.04 11:57:31 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.05.04 11:57:30 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.05.04 11:57:01 | 000,000,000 | ---D | C] -- C:\Programme\Antivir Key
[2010.05.01 21:02:16 | 000,000,000 | -HSD | C] -- C:\FOUND.000
[2010.04.28 15:14:44 | 000,000,000 | ---D | C] -- C:\20c9569d0dfc4a10d4
[2010.04.28 15:07:22 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\lenovo\IECompatCache
[2010.04.28 15:05:44 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\lenovo\PrivacIE
[2010.04.28 15:03:36 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\lenovo\IETldCache
[2010.04.28 14:43:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.04.28 14:42:07 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.04.28 14:24:39 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 4.0
[2010.04.28 14:03:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\PreInstall
[2010.04.23 23:22:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Lokale Einstellungen\Anwendungsdaten\Help
[2010.04.23 23:22:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Anwendungsdaten\Help
[2010.04.23 14:05:58 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Eigene Datenquellen
[2010.04.18 13:33:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.04.14 16:38:35 | 000,103,552 | R--- | C] (QUALCOMM Incorporated) -- C:\WINDOWS\System32\drivers\qscnusb.sys
[2010.04.14 16:38:11 | 000,000,000 | ---D | C] -- C:\Programme\INQ Modem
[2010.03.06 22:35:27 | 000,069,632 | ---- | C] (Lexmark International Inc.) -- C:\WINDOWS\System32\LXBKCU.DLL
[2010.03.06 22:35:26 | 000,094,208 | ---- | C] (Lexmark International Inc.) -- C:\WINDOWS\System32\LXBKCUR.DLL
[2010.03.06 22:34:53 | 000,352,256 | ---- | C] (Lexmark International Inc.) -- C:\WINDOWS\System32\LXBKUTIL.DLL
[2010.03.06 22:34:52 | 000,458,752 | ---- | C] (Lexmark International Inc.) -- C:\WINDOWS\System32\LXBKJSWR.DLL
[2010.03.06 22:34:52 | 000,000,000 | ---D | C] -- C:\Programme\Lexmark X1100 Series
[2010.03.06 22:32:54 | 000,299,008 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\unin0407.exe
[2010.03.06 22:32:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\WINDOWS
[2010.03.02 23:33:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Cnut
[2010.02.22 22:51:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.02.22 22:51:40 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.02.22 22:29:06 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.02.22 22:21:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Anwendungsdaten\Sun
[2010.02.22 13:49:54 | 000,000,000 | ---D | C] -- C:\Programme\PDF Blender
[2010.02.17 16:09:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\_Arbeit
[2009.12.12 20:28:04 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2009.12.12 20:28:04 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 90 Days ==========

[2010.05.13 09:21:04 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\lenovo\Desktop\OTL.exe
[2010.05.13 09:08:20 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2010.05.13 09:07:02 | 000,000,252 | ---- | M] () -- C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
[2010.05.12 20:50:48 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.05.12 20:49:06 | 000,000,056 | -HS- | M] () -- C:\_PartitionInfo
[2010.05.12 20:49:04 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.12 20:49:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.12 20:47:44 | 009,437,184 | -H-- | M] () -- C:\Dokumente und Einstellungen\lenovo\NTUSER.DAT
[2010.05.12 20:47:44 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\lenovo\ntuser.ini
[2010.05.12 17:37:50 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.05.12 14:51:14 | 003,687,182 | R--- | M] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\Combo-Fix.exe
[2010.05.11 22:55:10 | 000,824,681 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\RSIT.exe
[2010.05.11 20:49:02 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.05.11 20:48:46 | 000,015,880 | ---- | M] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.05.11 20:36:54 | 000,000,751 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.05.10 10:12:26 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\bert.com
[2010.05.10 10:04:54 | 000,000,735 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.05.10 10:04:54 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.05.10 10:04:54 | 000,000,211 | ---- | M] () -- C:\Boot.bak
[2010.05.10 09:50:24 | 000,452,544 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.05.10 09:50:24 | 000,435,594 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.05.10 09:50:24 | 000,068,490 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.05.10 09:50:22 | 001,050,540 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.05.10 09:50:22 | 000,081,324 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.05.08 15:30:22 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.05.04 10:30:50 | 000,178,176 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.29 11:39:18 | 000,000,568 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\QMUL Erasmus.lnk
[2010.04.28 18:17:26 | 000,269,392 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.28 17:13:44 | 000,070,760 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.04.26 15:58:14 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2010.04.25 13:36:08 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010.04.14 16:38:18 | 000,000,570 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\INQ Modem.lnk
[2010.04.09 10:23:00 | 000,000,239 | ---- | M] () -- C:\WINDOWS\lexstat.ini
[2010.03.17 18:16:08 | 000,100,272 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Studienbescheinigung_SS2010.pdf
[2010.03.17 18:14:32 | 000,368,098 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Semesterticket_NRW_VRR__SS2010.pdf
[2010.03.15 14:08:40 | 004,263,168 | -H-- | M] () -- C:\Dokumente und Einstellungen\lenovo\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.03.11 22:21:58 | 000,030,720 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Inventar Goldhurst Terrace.doc
[2010.03.04 13:04:12 | 000,045,225 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\__shop.lebara-mobile.co.uk_GBRStore_Sim.aspx_price=20.pdf
[2010.03.01 10:07:44 | 000,124,784 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.02.26 14:14:20 | 000,014,336 | ---- | M] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Ausgaben London.xls
[2010.02.18 10:51:54 | 000,102,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avfwot.sys
[2010.02.16 14:24:02 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.02.15 15:23:52 | 000,079,432 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avfwim.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.05.12 17:37:48 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.05.12 17:37:46 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.05.12 14:56:18 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.05.12 14:56:17 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.05.12 14:56:17 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.05.12 14:56:17 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.05.12 14:56:17 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.05.12 14:51:13 | 003,687,182 | R--- | C] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\Combo-Fix.exe
[2010.05.11 22:55:03 | 000,824,681 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\RSIT.exe
[2010.05.11 21:34:04 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.05.11 20:52:52 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.05.11 20:36:53 | 000,000,751 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.05.10 10:14:53 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\bert.com
[2010.04.29 11:39:17 | 000,000,568 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Desktop\QMUL Erasmus.lnk
[2010.04.14 16:38:17 | 000,000,570 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\INQ Modem.lnk
[2010.03.17 18:16:06 | 000,100,272 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Studienbescheinigung_SS2010.pdf
[2010.03.17 18:14:29 | 000,368,098 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Semesterticket_NRW_VRR__SS2010.pdf
[2010.03.10 21:00:53 | 000,030,720 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Inventar Goldhurst Terrace.doc
[2010.03.06 22:35:52 | 000,000,239 | ---- | C] () -- C:\WINDOWS\lexstat.ini
[2010.03.06 22:35:27 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\LXBKIH.EXE
[2010.03.06 22:35:27 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\LXBKLCNP.DLL
[2010.03.06 22:35:27 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbkvs.dll
[2010.03.06 22:35:27 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\INSTMON.EXE
[2010.03.06 22:35:27 | 000,000,448 | ---- | C] () -- C:\WINDOWS\System32\LXBK.LOC
[2010.03.06 22:35:26 | 001,314,601 | ---- | C] () -- C:\WINDOWS\System32\LXBKLPA.HLP
[2010.03.06 22:35:26 | 000,503,168 | ---- | C] () -- C:\WINDOWS\System32\LXBKDRV.HLP
[2010.03.06 22:35:26 | 000,002,322 | ---- | C] () -- C:\WINDOWS\System32\LXBKDRV.CNT
[2010.03.06 22:35:26 | 000,002,247 | ---- | C] () -- C:\WINDOWS\System32\LXBKLPA.CNT
[2010.03.06 22:35:26 | 000,000,282 | ---- | C] () -- C:\WINDOWS\System32\LXBKMA.CNT
[2010.03.06 22:34:53 | 000,000,266 | ---- | C] () -- C:\WINDOWS\System32\lxbkcoin.ini
[2010.03.04 13:04:09 | 000,045,225 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\__shop.lebara-mobile.co.uk_GBRStore_Sim.aspx_price=20.pdf
[2010.02.20 18:16:49 | 000,014,336 | ---- | C] () -- C:\Dokumente und Einstellungen\lenovo\Eigene Dateien\Ausgaben London.xls
[2009.10.03 20:04:08 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.10.03 16:31:55 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.09.25 22:53:35 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2009.08.24 06:20:15 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.08.24 05:12:45 | 009,338,880 | ---- | C] () -- C:\WINDOWS\System32\Facev.dll
[2009.08.24 05:12:45 | 000,495,616 | ---- | C] () -- C:\WINDOWS\System32\picn.dll
[2009.08.24 05:12:45 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\image.dll
[2009.08.24 05:12:44 | 000,655,360 | ---- | C] () -- C:\WINDOWS\System32\EncIcons.dll
[2009.08.24 05:12:44 | 000,507,904 | ---- | C] () -- C:\WINDOWS\System32\SimpleExt.dll
[2009.08.24 05:12:44 | 000,241,752 | ---- | C] () -- C:\WINDOWS\System32\IcnOvrly.dll
[2009.08.24 05:12:44 | 000,221,184 | ---- | C] () -- C:\WINDOWS\System32\SetDev.dll
[2009.08.24 05:12:44 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\VideoOp.dll
[2009.08.24 05:12:44 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\FunFrm.dll
[2009.08.24 05:12:43 | 009,502,720 | ---- | C] () -- C:\WINDOWS\System32\FaceVerify.dll
[2009.08.24 05:12:43 | 001,564,672 | ---- | C] () -- C:\WINDOWS\System32\MainOp.dll
[2009.08.24 05:12:43 | 001,167,360 | ---- | C] () -- C:\WINDOWS\System32\PicNotify.dll
[2009.08.24 05:12:43 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\Momo.dll
[2009.08.24 05:12:43 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\DevFilt.dll
[2009.08.24 05:12:42 | 001,974,272 | ---- | C] () -- C:\WINDOWS\System32\Imagereog.dll
[2009.08.24 05:12:42 | 000,974,848 | ---- | C] () -- C:\WINDOWS\System32\Apblend.dll
[2009.08.24 05:12:40 | 000,241,664 | ---- | C] () -- C:\WINDOWS\System32\3DImageRenderer.dll
[2009.08.24 04:51:23 | 000,001,282 | ---- | C] () -- C:\WINDOWS\vm331Rmv.ini
[2009.08.24 04:40:49 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2009.01.16 17:55:38 | 002,854,976 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2008.07.21 18:30:37 | 000,001,650 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.02.17 11:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest
[2005.02.17 11:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest
[2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

========== LOP Check ==========

[2009.08.24 05:12:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VeriFace
[2009.09.21 18:57:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2009.10.13 22:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010.05.11 20:36:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2009.09.21 18:58:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\lenovo\Anwendungsdaten\Vodafone
[2009.10.13 22:52:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\lenovo\Anwendungsdaten\DAEMON Tools Lite
[2010.05.13 09:07:02 | 000,000,252 | ---- | M] () -- C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
[2010.05.12 20:50:48 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

========== Purity Check ==========

========== Custom Scans ==========

< %SYSTEMDRIVE%\*.* >
[2010.05.12 17:37:50 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2008.04.14 04:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2008.04.14 04:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.04.14 04:00:00 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2008.07.03 00:42:14 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2008.07.03 00:42:14 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2008.07.03 00:42:14 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2008.07.03 00:42:14 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2010.05.12 20:48:56 | 1598,029,824 | -HS- | M] () -- C:\pagefile.sys
[2009.08.24 04:42:28 | 000,001,751 | ---- | M] () -- C:\RHDSetup.log
[2009.08.24 04:51:44 | 000,000,032 | ---- | M] () -- C:\VM_Setup.log
[2009.04.20 20:16:26 | 000,016,592 | -H-- | M] () -- C:\version
[2009.08.24 05:12:26 | 000,000,054 | ---- | M] () -- C:\splash.idx
[2010.05.13 09:08:20 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2010.05.12 20:49:06 | 000,000,056 | -HS- | M] () -- C:\_PartitionInfo
[2010.04.25 13:45:20 | 021,209,162 | ---- | M] () -- C:\sysiclog.txt.bak
[2010.05.12 20:49:06 | 016,515,754 | ---- | M] () -- C:\sysiclog.txt
[2010.05.13 08:44:12 | 000,169,740 | ---- | M] () -- C:\HeadNotify.log
[2010.05.12 20:45:46 | 000,000,375 | ---- | M] () -- C:\rkill.log
[2010.05.12 20:48:56 | 000,002,012 | ---- | M] () -- C:\aaw7boot.log
[2004.08.03 23:00:10 | 000,262,448 | ---- | M] () -- C:\cmldr
[2010.05.10 10:04:54 | 000,000,211 | ---- | M] () -- C:\Boot.bak

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[2008.04.14 04:00:00 | 001,267,200 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\comsvcs.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2008.07.03 02:32:28 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2008.07.03 02:32:28 | 001,069,056 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2008.07.03 02:32:26 | 000,471,040 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

< %systemroot%\system32\drivers\*.sys /90 >
[2010.02.15 15:23:52 | 000,079,432 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\avfwim.sys
[2010.02.18 10:51:54 | 000,102,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\avfwot.sys
[2010.02.16 14:24:02 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\avgntflt.sys
[2010.03.01 10:07:44 | 000,124,784 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\avipbb.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbam.sys
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
[2010.05.11 20:49:02 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\system32\drivers\SBREDrv.sys
[2010.02.24 14:11:08 | 000,455,680 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\mrxsmb.sys
< End of report >

Extra.txt

OTL Extras logfile created on: 13.05.2010 09:25:43 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\lenovo\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 103,89 Gb Total Space | 36,12 Gb Free Space | 34,77% Space Free | Partition Type: FAT32
Drive D: | 30,38 Gb Total Space | 29,18 Gb Free Space | 96,04% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: LENOVO-A6F13EA5
Current User Name: lenovo
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Dokumente und Einstellungen\LENOVO\Desktop\TeamViewer\TeamViewer.exe" = C:\Dokumente und Einstellungen\LENOVO\Desktop\TeamViewer\TeamViewer.exe:*:Enabled:TeamViewer -- (TeamViewer GmbH)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{10DDCDDD-9A59-4496-9371-C17F1668D433}" = Windows Live Toolbar
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{2987EE84-C4EE-4FF5-8160-32DE00D6ABC6}" = GTA2
"{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}" = Microsoft SQL Server VSS Writer
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{357B11ED-5417-4CF3-8EB2-386299BC30E0}" = Lenovo Quick Start
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}" = Microsoft SQL Server Native Client
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{717E0AD5-91EB-459F-AB8B-1B5219BAF7CE}" = Lenovo System Repair - Windows Update Monitor
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76F4DD9B-C246-4BE0-00B6-3DE9ABF72299}" = Need For Speed Hot Pursuit 2
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = Lenovo Bluetooth with Enhanced Data Rate Software
"{8991E763-21F5-4DEA-A938-5D9D77DCB488}" = Broadcom WLAN
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{90A40407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Web Components
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = USB2.0 Card Reader Software
"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 3.81
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components
"{AC76BA86-7AD7-1031-7B44-A90100000001}" = Adobe Reader 9.0.1 - Deutsch
"{ADE16A9D-FBDC-4ecc-B6BD-9C31E51D0332}" = Lenovo EasyCamera
"{AE1E24C2-E720-42D5-B8E1-48F71A97B4DB}" = Energy Management
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{EA2D9BC0-75E9-4975-9A0A-DD82198DDC53}" = MSXML 6.0 Parser
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FC57FC53-104C-415C-98D7-B05E659461A9}" = Broadcom Gigabit Integrated Controller
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"Avira AntiVir Desktop" = Avira AntiVir Professional
"First Class Übersetzer 6" = First Class Übersetzer 6
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"INQ Modem" = INQ Modem
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"Lexmark X1100 Series" = Lexmark X1100 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PDF Blender" = PDF Blender
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Trillian" = Trillian
"VeriFace III" = VeriFace III
"VLC media player" = VideoLAN VLC media player 0.8.6i
"Winamp" = Winamp
"Windows Live Toolbar" = Windows Live Toolbar
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

========== Last 10 Event Log Errors ==========

[ System Events ]
Error - 12.05.2010 12:00:29 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
nicht gestartet: %%3

Error - 12.05.2010 12:00:48 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SRTSP SRTSPX

Error - 12.05.2010 12:29:18 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
nicht gestartet: %%3

Error - 12.05.2010 12:29:37 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SRTSP SRTSPX

Error - 12.05.2010 13:17:25 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
nicht gestartet: %%3

Error - 12.05.2010 13:17:42 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SRTSP SRTSPX

Error - 12.05.2010 15:43:27 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
nicht gestartet: %%3

Error - 12.05.2010 15:43:49 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SRTSP SRTSPX

Error - 12.05.2010 15:49:06 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Norton Internet Security" wurde aufgrund folgenden Fehlers
nicht gestartet: %%3

Error - 12.05.2010 15:49:26 | Computer Name = LENOVO-A6F13EA5 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SRTSP SRTSPX

< End of report >

Gmer.txt

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-13 09:55:11
Windows 5.1.2600 Service Pack 3
Running: ggk1o6bi.exe; Driver: C:\DOKUME~1\lenovo\LOKALE~1\Temp\uwayrpow.sys

---- Devices - GMER 1.0.15 ----

Device \Driver\Cdrom \Device\CdRom0 895A0008
Device \Driver\d347prt \Device\Scsi\d347prt1 892C72C8
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 892C72C8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

Device \FileSystem\Cdfs \Cdfs 89236A80
Device \FileSystem\Fastfat \Fat 89F9D660

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat tvtumon.sys (Windows Update Monitor Driver/Lenovo)

Device \FileSystem\Fastfat \FatCdrom 89F9D660
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 89274BA8
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 89274BA8
Device \FileSystem\Fs_Rec \FileSystem\NtfsRecognizer 89274BA8
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 89274BA8
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 89274BA8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 892C4248
Device \FileSystem\MRxSmb \Device\LanmanRedirector 892C4248
Device \FileSystem\Msfs \Device\Mailslot 89274628
Device \FileSystem\Npfs \Device\NamedPipe 8920FC98
Device \FileSystem\Ntfs \Ntfs 89272660

AttachedDevice \FileSystem\Ntfs \Ntfs tvtumon.sys (Windows Update Monitor Driver/Lenovo)

Device \FileSystem\Rdbss \Device\FsWrap 892374A0
Device \FileSystem\Srv \Device\LanmanServer 89396628

---- System - GMER 1.0.15 ----

SSDT AA69ED90 ZwOpenProcess
SSDT AA69ED95 ZwOpenThread
SSDT AA69EDA4 ZwCreateThread
SSDT AA69EDAE ZwCreateKey
SSDT AA69EDB3 ZwDeleteKey
SSDT AA69EDB8 ZwSetValueKey
SSDT AA69EDBD ZwDeleteValueKey
SSDT AA69EDC2 ZwLoadKey
SSDT AA69EDC7 ZwRestoreKey
SSDT AA69EDCC ZwReplaceKey

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT ABP480N5.SYS[SCSIPORT.SYS!ScsiPortInitialize] 8A02A4B0
IAT ABP480N5.SYS[SCSIPORT.SYS!ScsiPortNotification] 8A02A4C0
IAT adpu160m.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A061530
IAT adpu160m.sys[SCSIPORT.SYS!ScsiPortNotification] 8A061540
IAT aha154x.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A02C5F8
IAT aha154x.sys[SCSIPORT.SYS!ScsiPortNotification] 8A02C608
IAT aic78u2.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A0621E8
IAT aic78u2.sys[SCSIPORT.SYS!ScsiPortNotification] 8A0621F8
IAT aic78xx.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A063A78
IAT aic78xx.sys[SCSIPORT.SYS!ScsiPortNotification] 8A063A88
IAT amsint.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A02BCC0
IAT amsint.sys[SCSIPORT.SYS!ScsiPortNotification] 8A02BCD0
IAT asc3350p.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A061008
IAT asc3350p.sys[SCSIPORT.SYS!ScsiPortNotification] 8A061018

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\winlogon.exe[700] @ C:\WINDOWS\system32\winlogon.exe [USER32.dll!DialogBoxParamW] [1003695B] C:\WINDOWS\system32\PicNotify.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT cbidf2k.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A0609F8
IAT cbidf2k.sys[SCSIPORT.SYS!ScsiPortNotification] 8A060A08
IAT cd20xrnt.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A061CC0
IAT cd20xrnt.sys[SCSIPORT.SYS!ScsiPortNotification] 8A061CD0
IAT cpqarray.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A02C9C0
IAT cpqarray.sys[SCSIPORT.SYS!ScsiPortNotification] 8A02C9D0

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xB9F8E818]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xB9F82A20]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xB9F832A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xB9F8E910]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xB9F8E794]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xB9F832C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xB9F8E866]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xB9F8E0B0]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT dac960nt.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A0636B0
IAT dac960nt.sys[SCSIPORT.SYS!ScsiPortNotification] 8A0636C0
IAT dpti2o.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A029008
IAT dpti2o.sys[SCSIPORT.SYS!ScsiPortNotification] 8A029018

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xF7 0xED 0x05 0x16 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xF7 0xED 0x05 0x16 ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT hpn.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A060D40
IAT hpn.sys[SCSIPORT.SYS!ScsiPortNotification] 8A060D50
IAT i2omp.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A062D40
IAT i2omp.sys[SCSIPORT.SYS!ScsiPortNotification] 8A062D50
IAT ini910u.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A062978
IAT ini910u.sys[SCSIPORT.SYS!ScsiPortNotification] 8A062988

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2C34 805044D0 4 Bytes CALL C898FECD
.text ntkrnlpa.exe!ZwCallbackReturn + 2CF4 80504590 4 Bytes JMP BCD2FF8D
.text ntkrnlpa.exe!ZwCallbackReturn + 2E94 80504730 4 Bytes CALL 0C6B012D

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT perc2.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A060008
IAT perc2.sys[SCSIPORT.SYS!ScsiPortNotification] 8A060018
IAT ql10wnt.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A0632E8
IAT ql10wnt.sys[SCSIPORT.SYS!ScsiPortNotification] 8A0632F8
IAT ql1240.sys[SCSIPORT.SYS!ScsiPortInitialize] 8A0625B0
IAT ql1240.sys[SCSIPORT.SYS!ScsiPortNotification] 8A0625C0

---- EOF - GMER 1.0.15 ----

Larusso · 13.05.2010, 14:16

Noch Probleme ?

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code:

ATTFilter

C:\WINDOWS\System32\PicNotify.dll

Also gehe wie hier beschrieben vor:

Öffne diese Webseite: virustotal
Klicke auf "Durchsuchen"
Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
"Senden der Datei"
Warte, bis der Scandurchlauf aller Virenscanner beendet ist
Auf "Filter" klicken
dann auf "Ergebnisse"
das Ergebnis (wie Du es bekommst )
komplett markieren und hier rein kopieren

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

VirusQueen · 13.05.2010, 14:26

haha, ich habs ehrlich gesagt bis gerade nicht überprüft ob google wieder richtig funktioniert, weil ich angst hatte, dass ich irgendwo einen weiteren virus einfange, aber es läuft wieder normal!! tausend dank!!
sollte ich trotzdem noch virustotal durchlaufen lassen?
wenn jetzt wirklich alles bereinigt ist, kann ich dann die ganzen programme wieder löschen? (bis auf antivir, ad-aware, spybot & ccleaner)
besteht irgendwie die chance, dass in meinen dateien noch viren hängen oder kann ich alles wie vorher benutzen?
ich hatte anfangs zwei ganz wichtige dateien auf einen usb-stick gepackt - falls der pc nicht zu retten gewesen wäre, sollte ich den stick lieber nie wieder nutzen? nicht, dass der meinen rechner wieder infiziert..!?
danke..

Larusso · 14.05.2010, 10:13

Ja, schock mir bitte die Auswertung.

Bitte solange mitarbeiten, bis ich dir sage wir sind durch

VirusQueen · 14.05.2010, 10:51

Hmm, also ich weiß nicht ob ich jetzt hier das richtige Ergebnis poste...
Nachdem der Scan fertig war kamen Ergebnisse, was aber glaub ich dasgleiche war wie das was dein kam wenn ich auf "Filter" geklickt habe. Danach konnte ich nicht weiter irgendwo auf "Ergebnis" klicken.
Aber ich hoffe, dass das unten richtig ist..

Datei PicNotify.dll empfangen 2010.05.14 09:26:37 (UTC)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.14.01 2010.05.14 -
AntiVir 8.2.1.242 2010.05.14 -
Antiy-AVL 2.0.3.7 2010.05.14 -
Authentium 5.2.0.5 2010.05.14 -
Avast 4.8.1351.0 2010.05.13 -
Avast5 5.0.332.0 2010.05.13 -
AVG 9.0.0.787 2010.05.13 -
BitDefender 7.2 2010.05.14 -
CAT-QuickHeal 10.00 2010.05.14 -
ClamAV 0.96.0.3-git 2010.05.14 -
Comodo 4837 2010.05.14 -
eSafe 7.0.17.0 2010.05.13 -
eTrust-Vet 35.2.7488 2010.05.14 -
F-Prot 4.5.1.85 2010.05.14 -
Fortinet 4.1.133.0 2010.05.14 -
GData 21 2010.05.14 -
Ikarus T3.1.1.84.0 2010.05.14 -
Jiangmin 13.0.900 2010.05.14 -
Kaspersky 7.0.0.125 2010.05.14 -
McAfee 5.400.0.1158 2010.05.14 -
McAfee-GW-Edition 2010.1 2010.05.14 -
Microsoft 1.5703 2010.05.14 -
NOD32 5114 2010.05.14 -
Norman 6.04.12 2010.05.14 -
nProtect 2010-05-14.01 2010.05.14 -
PCTools 7.0.3.5 2010.05.14 -
Prevx 3.0 2010.05.14 -
Rising 22.47.04.03 2010.05.14 -
Sophos 4.53.0 2010.05.14 -
Sunbelt 6302 2010.05.14 -
TheHacker 6.5.2.0.280 2010.05.13 -
TrendMicro 9.120.0.1004 2010.05.14 -
VBA32 3.12.12.5 2010.05.14 -
ViRobot 2010.5.14.2315 2010.05.14 -
VirusBuster 5.0.27.0 2010.05.13 -

weitere Informationen
File size: 1167360 bytes
MD5...: 53637192d09a794ddacee3c14e43f403
SHA1..: c735ba2bad85068c25696f39572037d63fde23b9
SHA256: 38d72faa93e95f593827aaf22644b486d78004b28670e4045c2b9fc2a43e4e02
ssdeep: 12288:kQADkB52j7ZfFcA5otXDiv9EKosVv6OWlL:Io52j7sootXDiqKDN 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x36d4d timedatestamp.....: 0x4987ddd7 (Tue Feb 03 06:01:59 2009) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .textbss 0x1000 0x341e1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .text 0x36000 0x6f10c 0x70000 5.55 52f2d80ff1444f3d3e4434898b5fdd21 .rdata 0xa6000 0x15a10 0x16000 3.73 66a57eaf34513d52826e59b17e06a82b .data 0xbc000 0xe9b0 0x2000 1.98 3ef8bd57e746f6830e9614d253a4bd63 .idata 0xcb000 0x1964 0x2000 3.84 10f16135471d6443adac5fafcc196c3a .rsrc 0xcd000 0x8bcbc 0x8c000 3.30 95c57f420fd9bbb4302e25d594c676df .reloc 0x159000 0x565f 0x6000 5.57 ab7460e6591af891a930cf57ddfdf97a ( 11 imports ) > OLEACC.dll: GetStateTextW, WindowFromAccessibleObject, AccessibleObjectFromEvent, GetRoleTextW > PSAPI.DLL: EnumProcessModules, EnumProcesses, GetModuleBaseNameW > FaceVerify.dll: ReleaseFaceVerify, CreateFaceVerify > Apblend.dll: HookProc, UnhookProc > KERNEL32.dll: SetStdHandle, WriteConsoleA, lstrlenW, IsBadWritePtr, lstrcmpiA, VirtualProtect, VirtualQuery, GetVersionExW, GetModuleHandleW, GetPrivateProfileStringW, WritePrivateProfileStringW, OutputDebugStringW, GetCurrentThreadId, TerminateProcess, CloseHandle, OpenProcess, FindNextChangeNotification, WaitForSingleObject, FindFirstChangeNotificationW, DeleteCriticalSection, GetModuleFileNameW, GetProcAddress, LoadLibraryW, DeleteFileW, CreateDirectoryW, GetSystemDirectoryW, InitializeCriticalSection, DisableThreadLibraryCalls, LeaveCriticalSection, WriteFile, GetLocalTime, GetConsoleOutputCP, GetFileSize, CreateFileW, EnterCriticalSection, CreateThread, GetLastError, FreeLibrary, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, GetLocaleInfoA, GetDateFormatA, GetTimeFormatA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, GetConsoleMode, GetConsoleCP, FlushFileBuffers, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, SetHandleCount, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, HeapReAlloc, GetModuleFileNameA, SetConsoleCtrlHandler, ExitProcess, GetTimeZoneInformation, GetLocaleInfoW, CreateFileA, CompareStringA, CompareStringW, SetFilePointer, SetEnvironmentVariableA, GetFileType, WriteConsoleW, OutputDebugStringA, GetStdHandle, GetCurrentThread, SetLastError, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetModuleHandleA, InterlockedIncrement, InterlockedDecrement, Sleep, InterlockedExchange, RtlUnwind, RaiseException, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapValidate, IsBadReadPtr, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, FatalAppExitA, DebugBreak, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, LoadLibraryA, GetACP, GetOEMCP, GetCPInfo, IsValidCodePage > USER32.dll: SetWindowPos, GetWindow, EnumChildWindows, GetDlgItem, SetWindowTextW, SetFocus, SendMessageW, GetWindowRect, ClientToScreen, CallNextHookEx, SetWindowsHookExW, DefWindowProcW, BeginPaint, GetClientRect, DrawTextW, EndPaint, PostQuitMessage, LoadCursorW, RegisterClassExW, UnhookWinEvent, SetWinEventHook, PostMessageW, GetClassNameW, UnhookWindowsHookEx, FindWindowW, LockWorkStation, GetSystemMetrics, DestroyWindow, GetWindowLongW, CreateWindowExW > ADVAPI32.dll: RegOpenKeyW, RegCreateKeyW, RegSetValueExW, RegQueryValueExW, RegCloseKey, RegDeleteValueW > SHELL32.dll: SHGetSpecialFolderPathW > ole32.dll: CoInitialize > OLEAUT32.dll: -, -, - > NETAPI32.dll: NetUserEnum, NetApiBufferFree ( 9 exports ) HeadCreateShell, HeadLock, HeadLogoff, HeadLogon, HeadShutdown, HeadStartScreenSaver, HeadStartup, HeadStopScreenSaver, HeadUnlock 
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (75.0%) Win32 Executable Generic (16.9%) Generic Win/DOS Executable (3.9%) DOS Executable Generic (3.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned

Larusso · 14.05.2010, 10:59

Du hattest einmal Norton installiert.

Entfernen wir noch Reste. Bitte verwende dazu das Norton Removal Tool

schritt 2

Starte Malwarebytes, klicke auf den Reiter Updates und mache einen QuickScan.

schritt 3

Ich würde dir empfehlen, Ad-Aware zu deinstallieren. Das Tool ist Schrott

Deine Entscheidung.

schritt 4

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

VirusQueen · 14.05.2010, 11:48

Norton.. keine Ahnung wo es herkam, aber ich habs runtergeschmissen mit dem Tool. Ad-Aware habe ich auch deinstalliert.
hier ist schonmal das Ergebnis von mbam, scheint sauber zu sein.
Combofix lade ich nochmal runter jetzt und mach damit nochmal das gleiche Spiel wie beim letzten Mal. Danke

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4099

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.05.2010 11:42:49
mbam-log-2010-05-14 (11-42-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 127516
Laufzeit: 12 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

VirusQueen · 14.05.2010, 13:54

ok, mit Combofix hat es schon wieder nicht hingehau'n..
habs als Combo-Fix runtergeladen und AntiVir & Co ausgestellt, war offline, habs gestartet und nichts bewegt, aber nach über einer Std kam immernoch keine Rückmeldung :-/ Es taucht das blaue dos Fenster auf aber es folgt dann weiter nichts.
Raus kam ich aus der Anwendung nur durchs Ausstellen des Computers, beim Systemscan (dieser blaue Bildschirm bevor Windows hochfährt) stand dort was von Combo-Fix Zuordnungseinheit ungültig und irgendwelche Combo-Fix Zuordnungen wurden durch Querverbindungen aufgelöst...
Was mach ich jetzt? ;-(

Larusso · 14.05.2010, 14:36

schritt 1

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

@echo off
cd \
type boot.ini > "%tmp%\look.txt"
notepad "%tmp%\look.txt"
del %0

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

schritt 2

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

Schließe alle Browserfenster.
Doppelklicke die JavaRa.exe, um das Programm zu starten.
Die Sprache auswählen, nimm Englisch und klicke "Select".
Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.

schritt 3

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Einen Haken bei "Remove found threads" und "Scan archives" machen.
Start drücken.
Signaturen werden heruntergeladen.
Der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

schritt 4

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte poste in Deiner nächsten Antwort
Look.txt
log.txt von eset
OTL.txt
Berichte ob noch Probleme vorhanden sind.

12.05.2010, 17:51	#4
Larusso /// Selecta Jahrusso	Google Umleitung, System langsam Schau bitte einmal ob du unter C: eine Combo-fix.txt findest Wenn ja, poste mir diese __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

14.05.2010, 10:13	#10
Larusso /// Selecta Jahrusso	Google Umleitung, System langsam Ja, schock mir bitte die Auswertung. Bitte solange mitarbeiten, bis ich dir sage wir sind durch __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

Google Umleitung, System langsam

Plagegeister aller Art und deren Bekämpfung: Google Umleitung, System langsam