Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Antispyware Soft Infektion

Antispyware Soft Infektion


Plagegeister aller Art und deren Bekämpfung: Antispyware Soft Infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 3 1 2 3
Alt 07.06.2010, 20:26   #16
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Hallo Daniel,

UltraVNC sollte kein Problem sein, das kann man wieder installieren, falls es gebraucht wird.

Hier der MBR.log:

Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x01D1BC7FF 
malicious code @ sector 0x01D1BC802 !
PE file found in sector at 0x01D1BC818 !
Ich möchte zunächst versuchen, den MBR zu reparieren.

Gruss,
Winfried

Alt 07.06.2010, 20:43   #17
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Du hattest doch schon mal mit Myrtille das Vergnügen oder

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.
  • Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
    Danach wieder anstellen nicht vergessen!
  • Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
Anwendung
  1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
    Code:
    ATTFilter
    KillAll::
RenV::
c:\programme\UltraVNC\WinVNC .exe
c:\windows\system32\HDAShCut .exe
MBR::
  2. Speichere dies als CFScript.txt auf Deinem Desktop
    .

    .
  3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Schritt 2

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.


Bitte poste in Deiner nächsten Antwort
Combofix.txt
Gmer.txt
OTL.txt
__________________

__________________
Alt 08.06.2010, 01:25   #18
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


OK, der Virenscanner meckert immernoch den Masterbootrecord von Volume 0 und den Arbeitsspeicher mit W32/Mebroot an... Und ein Prozess temp\thlj.tmp\svchost.exe fängt im DOS Fenster an den Drucker zu beschicken... Ich habe diesen Prozess gestoppt und C:\temp soweit wie möglich geleert. Es befindet sich darin ein (versteckter?) Temporary Internet Files Ordner, der sich nicht löschen lässt, diesen habe ich geleert.

Hier die gewünschten Logs:

Code:
ATTFilter
ComboFix 10-06-07.03 - Administrator 08.06.2010   1:09.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.690 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CFScript.txt
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-07 bis 2010-06-07  ))))))))))))))))))))))))))))))
.

2010-06-07 23:17 . 2010-06-07 23:17	--------	d-----w-	c:\temp\sv148.tmp
2010-06-07 21:33 . 2010-06-07 23:13	--------	d-----w-	c:\temp\icyp.tmp
2010-06-07 10:23 . 2010-06-07 10:23	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET
2010-06-07 10:19 . 2010-06-07 10:19	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET
2010-06-07 10:16 . 2010-06-07 10:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2010-06-07 09:57 . 2010-06-07 10:17	--------	d-----w-	c:\programme\ESET Antivirus
2010-06-07 09:15 . 2010-06-07 09:23	--------	d-----w-	c:\temp\hsperfdata_SYSTEM
2010-06-07 09:03 . 2010-06-07 19:20	--------	d-----w-	c:\temp\hsperfdata_Administrator
2010-06-07 08:59 . 2010-06-07 23:13	--------	d-----w-	c:\temp\Google Toolbar
2010-06-07 01:01 . 2010-06-07 05:27	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-07 00:00 . 2010-06-07 00:00	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\PrivacIE
2010-06-07 00:00 . 2010-06-07 00:00	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-06 20:33 . 2010-06-06 20:58	--------	d-----w-	C:\CoFi3249C
2010-06-06 20:33 . 2010-06-06 20:33	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
2010-06-05 13:58 . 2010-06-05 14:17	--------	d-----w-	C:\CoFi
2010-06-05 04:20 . 2010-06-05 04:20	--------	d-----w-	C:\_OTL
2010-06-05 03:06 . 2010-06-06 20:54	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-06-05 02:36 . 2010-06-05 02:36	--------	d-----w-	c:\programme\trend micro
2010-06-05 02:36 . 2010-06-05 02:36	--------	d-----w-	C:\rsit
2010-06-04 23:29 . 2010-06-04 23:29	--------	d-----w-	c:\windows\system32\nvapps.xml
2010-06-04 20:43 . 2010-06-04 20:43	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-04 20:31 . 2010-06-04 21:27	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-05-22 20:24 . 2010-05-22 20:26	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 20:22 . 2010-05-22 20:33	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 20:22 . 2010-05-22 20:22	15326	----a-w-	c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2010-05-22 20:22 . 2010-05-21 08:49	5652144	----a-w-	c:\windows\system32\SpoonUninstall.exe
2010-05-22 20:22 . 2010-05-22 20:22	--------	d-----w-	c:\programme\dBpoweramp
2010-05-15 09:54 . 2010-05-15 10:08	--------	d-----w-	c:\programme\FormatFactory
2010-05-11 08:43 . 2010-05-11 09:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
2010-05-11 08:43 . 2010-05-11 08:43	--------	d-----w-	c:\programme\Downloader Qobuz

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-07 23:17 . 2007-06-08 13:20	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-06-07 23:08 . 2007-05-21 13:36	--------	d-----w-	c:\programme\UltraVNC
2010-06-07 09:29 . 2010-06-06 16:29	112	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
2010-05-08 22:35 . 2009-04-07 20:27	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
2010-04-29 13:39 . 2010-02-21 21:03	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-02-21 21:03	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-07 19:09 . 2010-04-07 19:09	95872	----a-w-	c:\windows\system32\drivers\epfwtdir.sys
2010-04-07 19:08 . 2010-04-07 19:08	114984	----a-w-	c:\windows\system32\drivers\ehdrv.sys
2010-04-07 19:05 . 2010-04-07 19:05	140216	----a-w-	c:\windows\system32\drivers\eamon.sys
2010-04-01 06:15 . 2004-08-04 12:00	63580	----a-w-	c:\windows\system32\perfc007.dat
2010-04-01 06:15 . 2004-08-04 12:00	391000	----a-w-	c:\windows\system32\perfh007.dat
2010-03-10 06:15 . 2004-08-04 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-06-05_14.14.05   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-07 10:17 . 2010-06-07 10:17	10134              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\callmsi.exe
+ 2010-06-07 10:17 . 2010-06-07 10:17	963072              c:\windows\Installer\2c884fa.msi
+ 2010-06-07 10:17 . 2010-06-07 10:17	101480              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\egui.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"egui"="c:\programme\ESET Antivirus\egui.exe" [2010-04-07 2145000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
f   Micros-Fidelio -  FO Server.lnk - d:\fidelio\program\FOSERVER.EXE [2007-5-22 14167552]
i    Micros-Fidelio -  Interface.lnk - d:\batch\IFCSTART.BAT [2007-5-21 10929]
NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2002-02-15 08:51	24638	----a-w-	c:\windows\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-18 07:58	40368	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-08-11 18:43	1519616	----a-w-	c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04	2879488	----a-w-	c:\windows\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=
"d:\\fidelio\\program\\Ifc7.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"38293:TCP"= 38293:TCP:IP PORT 38293
"1521:TCP"= 1521:TCP:IP PORT 1521
"443:TCP"= 443:TCP:IP PORT 443
"1621:TCP"= 1621:TCP:IP PORT 1621
"5900:TCP"= 5900:TCP:IP PORT 5900
"4400:TCP"= 4400:TCP:IP PORT 4400
"2967:TCP"= 2967:TCP:IP PORT 2967

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:08 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:09 95872]
R2 ekrn;ESET Service;c:\programme\ESET Antivirus\ekrn.exe [07.04.2010 21:08 810120]
R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]
R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]
R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]
R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]
R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-06-07 c:\windows\Tasks\Fidelio Folio spool fo_data Sicherung.job
- c:\windows\system32\ntbackup.exe [2004-08-04 02:22]

2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]

2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-08 01:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D0F78A]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75f4f28
\Driver\atapi -> atapi.sys @ 0xf7427852
\Driver\iaStor -> iaStor.sys @ 0xf7372184
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d75ad0
 PacketIndicateHandler -> NDIS.sys @ 0xf726aa0d
 SendHandler -> NDIS.sys @ 0xf727eb40
user & kernel MBR OK 
copy of MBR has been found in sector 0x01D1BC7FF 
malicious code @ sector 0x01D1BC802 !
PE file found in sector at 0x01D1BC818 !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,a8,21,0b,c6,97,4a,4a,84,b2,14,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(792)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Symantec\pcAnywhere\awhost32.exe
c:\programme\NDAS\System\ndassvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\BRMFRSMG.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\OpenOffice.org 2.2\program\soffice.exe
c:\programme\OpenOffice.org 2.2\program\soffice.BIN
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-08  01:22:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-07 23:22
ComboFix2.txt  2010-06-06 20:58
ComboFix3.txt  2010-06-05 14:16

Vor Suchlauf: 11 Verzeichnis(se), 23.498.203.136 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 23.516.995.584 Bytes frei

- - End Of File - - 54E7E8E2DC72747240C4FDD9B82066B9
GMER
GMER Logfile:
GMER Logfile:
GMER Logfile:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-08 01:53:20
Windows 5.1.2600 Service Pack 3
Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwAssignProcessToJobObject [0xED0B1610]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwDebugActiveProcess [0xED0B1C10]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwDuplicateObject [0xED0B1730]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwOpenProcess [0xED0B14B0]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwOpenThread [0xED0B1570]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwProtectVirtualMemory [0xED0B16D0]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSetContextThread [0xED0B1690]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSetInformationThread [0xED0B1650]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSetSecurityObject [0xED0B17D0]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSuspendProcess [0xED0B1510]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwSuspendThread [0xED0B1590]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwTerminateProcess [0xED0B14D0]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwTerminateThread [0xED0B15D0]
SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                     ZwWriteVirtualMemory [0xED0B1750]

---- Kernel code sections - GMER 1.0.15 ----

?                                                                                                                                     Combo-Fix.sys                                                                        Das System kann die angegebene Datei nicht finden. !
.text                                                                                                                                 C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                             section is writeable [0xF6088360, 0x24526E, 0xE8000020]
.text                                                                                                                                 C:\WINDOWS\system32\drivers\hardlock.sys                                             section is writeable [0xBAB4F400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBABF3620]  C:\WINDOWS\system32\drivers\hardlock.sys                                             entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBABF3620]
.protectÿÿÿÿhardlockunknown last code section [0xBABF3400, 0x5126, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                             unknown last code section [0xBABF3400, 0x5126, 0xE0000020]
?                                                                                                                                     c:\Temp\mbr.sys                                                                      Das System kann die angegebene Datei nicht finden. !
?                                                                                                                                     C:\CoFi23257C\catchme.sys                                                            Das System kann den angegebenen Pfad nicht finden. !
?                                                                                                                                     C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                           Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text                                                                                                                                 C:\WINDOWS\explorer.exe[792] ntdll.dll!NtProtectVirtualMemory                        7C91D6EE 5 Bytes  JMP 00B8000A 
.text                                                                                                                                 C:\WINDOWS\explorer.exe[792] ntdll.dll!NtWriteVirtualMemory                          7C91DFAE 5 Bytes  JMP 00BE000A 
.text                                                                                                                                 C:\WINDOWS\explorer.exe[792] ntdll.dll!KiUserExceptionDispatcher                     7C91E47C 5 Bytes  JMP 00B7000C 
.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!NtProtectVirtualMemory               7C91D6EE 5 Bytes  JMP 006E000A 
.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!NtWriteVirtualMemory                 7C91DFAE 5 Bytes  JMP 006F000A 
.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!KiUserExceptionDispatcher            7C91E47C 5 Bytes  JMP 006D000C 
.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] USER32.dll!GetCursorPos                        7E37974E 5 Bytes  JMP 0068000A 
.text                                                                                                                                 C:\WINDOWS\System32\svchost.exe[1224] ole32.dll!CoCreateInstance                     774D057E 5 Bytes  JMP 00E3000A 
.text                                                                                                                                 C:\Programme\ESET Antivirus\ekrn.exe[1684] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 4 Bytes  [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice                                                                                                                        \FileSystem\Ntfs \Ntfs                                                               lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
AttachedDevice                                                                                                                        \FileSystem\Ntfs \Ntfs                                                               eamon.sys (Amon monitor/ESET)
AttachedDevice                                                                                                                        \Driver\Tcpip \Device\Tcp                                                            epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

Device                                                                                                                                \Driver\aksusb \Device\0000005b                                                      AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                             lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                             eamon.sys (Amon monitor/ESET)

---- EOF - GMER 1.0.15 ----
[/CODE]
--- --- ---

--- --- ---

--- --- ---

--- --- ---

OTL.txt

Code:
ATTFilter
OTL logfile created on: 08.06.2010 02:04:07 - Run 2
OTL by OldTimer - Version 3.2.5.3     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 648,00 Mb Available Physical Memory | 63,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 21,93 Gb Free Space | 74,87% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 29,29 Gb Total Space | 21,93 Gb Free Space | 74,87% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
Drive J: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive L: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Q: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive T: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive U: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive V: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive X: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Y: | 232,88 Gb Total Space | 231,41 Gb Free Space | 99,37% Space Free | Partition Type: NTFS
Drive Z: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
 
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
PRC - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\ekrn.exe
PRC - [2010.04.07 21:08:30 | 002,145,000 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\egui.exe
PRC - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) -- C:\Programme\HospiX Entry\g4.exe
PRC - [2008.04.14 04:22:56 | 000,422,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntvdm.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 04:22:38 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe
PRC - [2007.07.20 09:37:44 | 001,567,744 | ---- | M] (Micros-Fidelio (Ireland) Ltd.) -- J:\fidelio\program\Ifc7.exe
PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin
PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe
PRC - [2006.07.14 14:52:44 | 014,167,552 | ---- | M] (Fidelio Research) -- U:\FOSERVER.EXE
PRC - [2005.03.31 02:33:20 | 000,180,224 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndasmgmt.exe
PRC - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndassvc.exe
PRC - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE
PRC - [2001.08.18 04:54:46 | 000,032,256 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\BrmfRsmg.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.04.07 21:13:20 | 000,033,560 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Programme\ESET Antivirus\EHttpSrv.exe -- (EhttpSrv)
SRV - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) [Auto | Running] -- C:\Programme\ESET Antivirus\ekrn.exe -- (ekrn)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)
SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Running] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)
SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent)
DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)
DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)
DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)
DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)
DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)
DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)
DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)
DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST)
DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa)
DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)
DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)
DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)
DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET Antivirus\Mozilla Thunderbird [2010.06.07 12:16:42 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2010.06.08 01:16:50 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [egui] C:\Programme\ESET Antivirus\egui.exe (ESET)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk = D:\fidelio\program\FOSERVER.EXE (Fidelio Research)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk = D:\batch\IFCSTART.BAT ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2000.05.04 22:24:18 | 000,000,438 | ---- | M] () - V:\AUTOEXEC.NT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.06.08 01:23:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.06.07 12:23:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.06.07 12:19:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.06.07 12:16:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2010.06.07 11:57:43 | 000,000,000 | ---D | C] -- C:\Programme\ESET Antivirus
[2010.06.07 10:33:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent
[2010.06.07 03:01:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.06.07 03:01:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2010.06.06 22:33:31 | 000,000,000 | ---D | C] -- C:\CoFi3249C
[2010.06.06 22:33:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
[2010.06.05 16:00:28 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.06.05 15:59:12 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.06.05 15:59:12 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.06.05 15:59:12 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.06.05 15:59:12 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.06.05 15:58:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.06.05 15:58:56 | 000,000,000 | ---D | C] -- C:\CoFi
[2010.06.05 15:58:26 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.06.05 08:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.06.05 06:20:14 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.06.05 05:06:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.06.05 04:36:51 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.06.05 04:36:44 | 000,000,000 | ---D | C] -- C:\rsit
[2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml
[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp
[2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput
[2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll
[2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz
[2010.04.07 21:09:48 | 000,095,872 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\epfwtdir.sys
[2010.04.07 21:08:36 | 000,114,984 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\ehdrv.sys
[2010.04.07 21:05:12 | 000,140,216 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\eamon.sys
[2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR
[2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager
[2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC
[2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy
 
========== Files - Modified Within 90 Days ==========
 
[2010.06.08 02:03:39 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini
[2010.06.08 02:01:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.08 02:01:58 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.08 02:01:52 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini
[2010.06.08 02:01:47 | 000,000,000 | ---- | M] () -- C:\WINDOWS\hlktmp
[2010.06.08 02:01:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.08 02:01:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.08 01:55:10 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT
[2010.06.08 01:55:09 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini
[2010.06.08 01:55:02 | 003,782,688 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.06.08 01:18:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.06.08 01:17:24 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.06.08 01:16:50 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.06.08 01:08:28 | 000,000,653 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk
[2010.06.08 01:08:28 | 000,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk
[2010.06.08 00:15:16 | 003,704,271 | R--- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
[2010.06.07 19:57:22 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe
[2010.06.07 13:45:40 | 000,001,030 | ---- | M] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job
[2010.06.07 11:29:16 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
[2010.06.06 18:32:45 | 000,000,000 | ---- | M] () -- C:\debug
[2010.06.05 16:00:33 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.06.05 05:06:15 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.05 03:58:32 | 000,824,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe
[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com
[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe
[2010.06.05 02:06:38 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe
[2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1
[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls
[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF
[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f   Micros-Fidelio -  FO Server.lnk
[2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\epfwtdir.sys
[2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\ehdrv.sys
[2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\eamon.sys
[2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
 
========== Files Created - No Company Name ==========
 
[2010.06.08 00:15:27 | 003,704,271 | R--- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
[2010.06.07 11:51:52 | 000,001,030 | ---- | C] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job
[2010.06.06 23:04:33 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe
[2010.06.06 18:32:45 | 000,000,000 | ---- | C] () -- C:\debug
[2010.06.06 18:29:19 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
[2010.06.05 16:00:33 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.06.05 16:00:29 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.06.05 15:59:12 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.06.05 15:59:12 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.06.05 15:59:12 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.06.05 15:59:12 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.06.05 15:59:12 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.06.05 04:57:55 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com
[2010.06.05 04:34:26 | 000,824,681 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe
[2010.06.05 02:54:27 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe
[2010.06.05 02:25:24 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe
[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini
[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
 
========== LOP Check ==========
 
[2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics
[2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid
[2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2010.06.07 12:16:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS
[2010.06.07 13:45:40 | 000,001,030 | ---- | M] () -- C:\WINDOWS\Tasks\Fidelio Folio spool fo_data Sicherung.job
 
========== Purity Check ==========
 
 
< End of report >
So, jetzt mal wieder ne Mütze voll Schlaf. "Keeping fingers crossed".

Danke auf jeden Fall, wir scheinen aber noch nicht am Ziel zu sein...

Gruss,
Winfried
__________________
Alt 08.06.2010, 14:35   #19
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Schritt 2

Downloade Dir bitte bootkit_remover]Bootkit_remover[/url]. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen


Schritt 3

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
%systemdrive%\svchost.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
svchost.exe /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Note: Die OTL Log könnte etwas größer werden. Wenn sie nicht rein passt lade sie bei File-Upload hoch und poste mir den Downloadlink

Bitte poste in Deiner nächsten Antwort
Ergebniss von Bootkit Remover
OTL.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 09.06.2010, 01:18   #20
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Hallo Daniel,

ich hab das probiert, leider komplett unerwartete Ergebnisse:

TFC fand nichts zum Löschen.

Bootkitremover bringt Fehlermeldungen.



Und OTL hängt nach einer Weile einfach.



Was nun?

Danke und Gruss,
Winfried


Alt 09.06.2010, 13:53   #21
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Schritt 1

Windows + R Taste --> cmd (eingeben --> OK
Es sollte sich ein schwarzes Fenster öffnen. Hier bitte folgendes eingeben

Start remover.exe fix \\.\PhysicalDrive0


Berichte ob es geklappt hat.
__________________
--> Antispyware Soft Infektion

Alt 13.06.2010, 23:41   #22
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Hallo Daniel,

ich bin jetzt erst zum weitermachen gekommen.

Nachdem ich TFC laufen liess, habe ich die CMD so ausgeführt wie angegeben. Nach Neustart wurde MebRoot wiedergefunden, also habe ich die CMD Sequenz nochmal gemacht und den PC nochmal neu gestartet.

Alles startete danach normal, aber eine "Geänderte Systemeinstellung: Die Installation neuer Geräte wurde fertiggestellt..." wurde gemeldet und ich solle den PC jetzt neu starten, damit die Änderung wirksam wird. Ich habe aber gar nichts geändert und deshalb erstmal "Nein" gewählt und warte erstmal auf Deine Antwort bevor ich neu boote. Vielleicht ist ja hier was im Busch...

ESET NOD23 fnndet den Mebroot übrigens bisher noch nicht wieder... Da schöpfe ich schonmal etwas Hoffnung.

Also bis bald! Ich denke wir können's jetzt wohl dann schaffen.

Danke und Gruss,
Winfried

Alt 14.06.2010, 14:15   #23
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Letzten Logfiles sind über 5 Tage her. Ich brauch neue.

Lösche bitte die vorhandene ComboFix.exe und lade sie dir von hier erneut herunter.
Speichere diese auf dem Desktop, schließe alle laufenden Programme und deaktiviere den Hintergrundwächter deiner AntiViren-Software.


Schritt 2

Lösche ebenfalls die vorhandene OTL.exe

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
svchost /rs
%systemdrive%\svchost.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread


Bitte poste in Deiner nächsten Antwort
Combofix.txt
OTL.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 14.06.2010, 22:59   #24
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Hallo Daniel,

danke für die Antwort!

also hier ist das Cofi Log:

Code:
ATTFilter
ComboFix 10-06-14.02 - Administrator 14.06.2010  23:17:40.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.707 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
 * Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads

.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-14 bis 2010-06-14  ))))))))))))))))))))))))))))))
.

2010-06-14 21:20 . 2010-06-14 21:20	53248	----a-w-	c:\temp\catchme.dll
2010-06-14 19:03 . 2010-06-14 21:19	--------	d-----w-	c:\temp\Google Toolbar
2010-06-14 03:14 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-13 22:51 . 2010-06-13 22:51	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help
2010-06-08 23:44 . 2009-10-03 17:06	499712	----a-w-	C:\remover.exe
2010-06-08 14:28 . 2010-06-08 14:28	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET
2010-06-07 10:23 . 2010-06-07 10:23	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET
2010-06-07 10:19 . 2010-06-07 10:19	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET
2010-06-07 10:16 . 2010-06-07 10:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2010-06-07 09:57 . 2010-06-07 10:17	--------	d-----w-	c:\programme\ESET Antivirus
2010-06-07 01:01 . 2010-06-07 05:27	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-07 00:00 . 2010-06-07 00:00	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\PrivacIE
2010-06-07 00:00 . 2010-06-07 00:00	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-06 20:33 . 2010-06-06 20:58	--------	d-----w-	C:\CoFi3249C
2010-06-06 20:33 . 2010-06-06 20:33	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
2010-06-05 13:58 . 2010-06-05 14:17	--------	d-----w-	C:\CoFi
2010-06-05 04:20 . 2010-06-05 04:20	--------	d-----w-	C:\_OTL
2010-06-05 03:06 . 2010-06-06 20:54	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-06-05 02:36 . 2010-06-05 02:36	--------	d-----w-	c:\programme\trend micro
2010-06-05 02:36 . 2010-06-05 02:36	--------	d-----w-	C:\rsit
2010-06-04 23:29 . 2010-06-04 23:29	--------	d-----w-	c:\windows\system32\nvapps.xml
2010-06-04 20:43 . 2010-06-04 20:43	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-05-22 20:24 . 2010-05-22 20:26	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 20:22 . 2010-05-22 20:33	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 20:22 . 2010-05-22 20:22	15326	----a-w-	c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2010-05-22 20:22 . 2010-05-21 08:49	5652144	----a-w-	c:\windows\system32\SpoonUninstall.exe
2010-05-22 20:22 . 2010-05-22 20:22	--------	d-----w-	c:\programme\dBpoweramp

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-14 16:26 . 2007-06-08 13:20	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-06-14 16:25 . 2007-05-21 15:04	--------	d-----w-	c:\programme\Symantec
2010-06-14 07:58 . 2007-09-22 20:32	--------	d-----w-	c:\programme\Google
2010-06-13 22:55 . 2007-05-21 15:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2010-06-13 22:55 . 2007-05-21 15:04	--------	d-----w-	c:\programme\Gemeinsame Dateien\Symantec Shared
2010-06-13 22:52 . 2007-10-19 20:59	--------	d-----w-	c:\programme\CPUID
2010-06-07 23:08 . 2007-05-21 13:36	--------	d-----w-	c:\programme\UltraVNC
2010-06-07 09:29 . 2010-06-06 16:29	112	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
2010-05-15 10:08 . 2010-05-15 09:54	--------	d-----w-	c:\programme\FormatFactory
2010-05-11 09:11 . 2010-05-11 08:43	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
2010-05-11 08:43 . 2010-05-11 08:43	--------	d-----w-	c:\programme\Downloader Qobuz
2010-05-08 22:35 . 2009-04-07 20:27	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
2010-05-06 10:31 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2005-10-06 03:08	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2010-02-21 21:03	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-02-21 21:03	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-20 05:29 . 2004-08-04 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-07 19:09 . 2010-04-07 19:09	95872	----a-w-	c:\windows\system32\drivers\epfwtdir.sys
2010-04-07 19:08 . 2010-04-07 19:08	114984	----a-w-	c:\windows\system32\drivers\ehdrv.sys
2010-04-07 19:05 . 2010-04-07 19:05	140216	----a-w-	c:\windows\system32\drivers\eamon.sys
2010-04-01 06:15 . 2004-08-04 12:00	63580	----a-w-	c:\windows\system32\perfc007.dat
2010-04-01 06:15 . 2004-08-04 12:00	391000	----a-w-	c:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((((   SnapShot@2010-06-05_14.14.05   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-05 20:17 . 2009-11-05 20:17	11600              c:\windows\system32\mui\0409\mscorees.dll
+ 2009-03-08 02:31 . 2010-05-06 10:31	55296              c:\windows\system32\msfeedsbs.dll
- 2009-03-08 02:31 . 2010-02-25 06:15	55296              c:\windows\system32\msfeedsbs.dll
- 2004-08-04 12:00 . 2010-02-25 06:15	25600              c:\windows\system32\jsproxy.dll
+ 2004-08-04 12:00 . 2010-05-06 10:31	25600              c:\windows\system32\jsproxy.dll
- 2009-09-05 22:15 . 2010-02-25 06:15	12800              c:\windows\system32\dllcache\xpshims.dll
+ 2009-09-05 22:15 . 2010-05-06 10:31	12800              c:\windows\system32\dllcache\xpshims.dll
- 2009-09-05 22:15 . 2010-02-25 06:15	55296              c:\windows\system32\dllcache\msfeedsbs.dll
+ 2009-09-05 22:15 . 2010-05-06 10:31	55296              c:\windows\system32\dllcache\msfeedsbs.dll
+ 2009-03-08 02:33 . 2010-05-06 10:31	25600              c:\windows\system32\dllcache\jsproxy.dll
- 2009-03-08 02:33 . 2010-02-25 06:15	25600              c:\windows\system32\dllcache\jsproxy.dll
+ 2010-03-05 14:37 . 2010-03-05 14:37	65536              c:\windows\system32\dllcache\asycfilt.dll
+ 2004-08-04 12:00 . 2010-03-05 14:37	65536              c:\windows\system32\asycfilt.dll
+ 2010-04-01 09:42 . 2010-04-01 09:42	81920              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.Security.dll
- 2008-05-27 22:49 . 2008-05-27 22:49	77824              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll
+ 2010-03-31 12:51 . 2010-03-31 12:51	77824              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll
+ 2010-03-31 12:51 . 2010-03-31 12:51	86016              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorie.dll
- 2008-05-27 22:49 . 2008-05-27 22:49	86016              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorie.dll
+ 2010-03-31 12:51 . 2010-03-31 12:51	81920              c:\windows\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll
- 2008-05-27 22:49 . 2008-05-27 22:49	81920              c:\windows\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll
+ 2010-03-31 13:32 . 2010-03-31 13:32	32768              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe
- 2008-05-27 23:30 . 2008-05-27 23:30	32768              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe
+ 2010-03-31 13:32 . 2010-03-31 13:32	24576              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_filter.dll
- 2003-02-20 17:19 . 2003-02-20 17:19	24576              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_filter.dll
+ 2010-06-07 10:17 . 2010-06-07 10:17	10134              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\callmsi.exe
+ 2010-06-14 15:09 . 2010-02-25 06:15	12800              c:\windows\ie8updates\KB982381-IE8\xpshims.dll
+ 2010-06-14 15:09 . 2010-02-25 06:15	55296              c:\windows\ie8updates\KB982381-IE8\msfeedsbs.dll
+ 2010-06-14 15:09 . 2010-02-25 06:15	25600              c:\windows\ie8updates\KB982381-IE8\jsproxy.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	90112              c:\windows\assembly\NativeImages1_v1.1.4322\System.Drawing.Design\1.0.5000.0__b03f5f7f11d50a3a_3d255424\System.Drawing.Design.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	61440              c:\windows\assembly\NativeImages1_v1.1.4322\CustomMarshalers\1.0.5000.0__b03f5f7f11d50a3a_daa42085\CustomMarshalers.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	81920              c:\windows\assembly\GAC\System.Security\1.0.5000.0__b03f5f7f11d50a3a\System.Security.dll
+ 2004-08-04 12:00 . 2010-05-06 10:31	206848              c:\windows\system32\occache.dll
- 2004-08-04 12:00 . 2010-02-25 06:15	206848              c:\windows\system32\occache.dll
+ 2004-08-04 12:00 . 2010-05-06 10:31	611840              c:\windows\system32\mstime.dll
- 2004-08-04 12:00 . 2010-02-25 06:15	611840              c:\windows\system32\mstime.dll
+ 2009-03-08 02:32 . 2010-05-06 10:31	599040              c:\windows\system32\msfeeds.dll
- 2004-08-04 12:00 . 2010-02-25 06:14	184320              c:\windows\system32\iepeers.dll
+ 2004-08-04 12:00 . 2010-05-06 10:31	184320              c:\windows\system32\iepeers.dll
- 2004-08-04 12:00 . 2010-02-25 06:14	387584              c:\windows\system32\iedkcs32.dll
+ 2004-08-04 12:00 . 2010-05-06 10:31	387584              c:\windows\system32\iedkcs32.dll
+ 2004-08-04 12:00 . 2010-05-05 13:30	173056              c:\windows\system32\ie4uinit.exe
- 2004-08-04 12:00 . 2010-02-24 09:53	173056              c:\windows\system32\ie4uinit.exe
+ 2007-05-17 14:24 . 2010-06-14 16:25	107008              c:\windows\system32\FNTCACHE.DAT
- 2007-05-17 14:24 . 2009-11-19 22:05	107008              c:\windows\system32\FNTCACHE.DAT
+ 2008-04-21 06:42 . 2010-05-06 10:31	916480              c:\windows\system32\dllcache\wininet.dll
- 2008-04-21 06:42 . 2010-02-25 06:15	916480              c:\windows\system32\dllcache\wininet.dll
- 2009-03-08 02:34 . 2010-02-25 06:15	206848              c:\windows\system32\dllcache\occache.dll
+ 2009-03-08 02:34 . 2010-05-06 10:31	206848              c:\windows\system32\dllcache\occache.dll
- 2009-03-08 02:32 . 2010-02-25 06:15	611840              c:\windows\system32\dllcache\mstime.dll
+ 2009-03-08 02:32 . 2010-05-06 10:31	611840              c:\windows\system32\dllcache\mstime.dll
+ 2009-09-05 22:15 . 2010-05-06 10:31	599040              c:\windows\system32\dllcache\msfeeds.dll
+ 2009-09-05 22:15 . 2010-05-06 10:31	247808              c:\windows\system32\dllcache\ieproxy.dll
- 2009-09-05 22:15 . 2010-02-25 06:14	247808              c:\windows\system32\dllcache\ieproxy.dll
+ 2009-03-08 02:31 . 2010-05-06 10:31	184320              c:\windows\system32\dllcache\iepeers.dll
- 2009-03-08 02:31 . 2010-02-25 06:14	184320              c:\windows\system32\dllcache\iepeers.dll
- 2009-03-08 12:09 . 2010-02-25 06:14	387584              c:\windows\system32\dllcache\iedkcs32.dll
+ 2009-03-08 12:09 . 2010-05-06 10:31	387584              c:\windows\system32\dllcache\iedkcs32.dll
- 2009-03-08 02:32 . 2010-02-24 09:53	173056              c:\windows\system32\dllcache\ie4uinit.exe
+ 2009-03-08 02:32 . 2010-05-05 13:30	173056              c:\windows\system32\dllcache\ie4uinit.exe
+ 2010-04-20 05:29 . 2010-04-20 05:29	285696              c:\windows\system32\dllcache\atmfd.dll
+ 2010-03-31 12:51 . 2010-03-31 12:51	102400              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorld.dll
- 2008-05-27 22:49 . 2008-05-27 22:49	102400              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorld.dll
- 2008-05-27 22:48 . 2008-05-27 22:48	315392              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll
+ 2010-03-31 12:49 . 2010-03-31 12:49	315392              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll
+ 2010-03-31 13:32 . 2010-03-31 13:32	258048              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
- 2008-05-27 23:30 . 2008-05-27 23:30	258048              c:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
+ 2010-06-07 10:17 . 2010-06-07 10:17	963072              c:\windows\Installer\2c884fa.msi
+ 2010-06-07 10:17 . 2010-06-07 10:17	101480              c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\egui.exe
+ 2010-06-14 15:09 . 2010-02-25 06:15	916480              c:\windows\ie8updates\KB982381-IE8\wininet.dll
+ 2010-06-14 15:09 . 2010-02-22 14:22	388984              c:\windows\ie8updates\KB982381-IE8\spuninst\updspapi.dll
+ 2010-06-14 15:09 . 2008-07-08 13:00	234872              c:\windows\ie8updates\KB982381-IE8\spuninst\spuninst.exe
+ 2010-06-14 15:09 . 2010-02-25 06:15	206848              c:\windows\ie8updates\KB982381-IE8\occache.dll
+ 2010-06-14 15:09 . 2010-02-25 06:15	611840              c:\windows\ie8updates\KB982381-IE8\mstime.dll
+ 2010-06-14 15:09 . 2010-02-25 06:15	594432              c:\windows\ie8updates\KB982381-IE8\msfeeds.dll
+ 2010-06-14 15:09 . 2010-02-25 06:14	247808              c:\windows\ie8updates\KB982381-IE8\ieproxy.dll
+ 2010-06-14 15:09 . 2010-02-25 06:14	184320              c:\windows\ie8updates\KB982381-IE8\iepeers.dll
+ 2010-06-14 15:09 . 2009-03-08 02:35	742912              c:\windows\ie8updates\KB982381-IE8\iedvtool.dll
+ 2010-06-14 15:09 . 2010-02-25 06:14	387584              c:\windows\ie8updates\KB982381-IE8\iedkcs32.dll
+ 2010-06-14 15:09 . 2010-02-24 09:53	173056              c:\windows\ie8updates\KB982381-IE8\ie4uinit.exe
+ 2010-06-14 15:10 . 2010-06-14 15:10	835584              c:\windows\assembly\NativeImages1_v1.1.4322\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a_f83681c8\System.Drawing.dll
+ 2004-08-04 12:00 . 2010-04-08 12:03	2113536              c:\windows\system32\WMVCore.dll
- 2004-08-04 12:00 . 2010-02-25 06:15	1209344              c:\windows\system32\urlmon.dll
+ 2004-08-04 12:00 . 2010-05-06 10:31	1209344              c:\windows\system32\urlmon.dll
- 2005-08-30 03:55 . 2009-11-27 17:11	1297408              c:\windows\system32\quartz.dll
+ 2005-08-30 03:55 . 2010-02-05 18:25	1297408              c:\windows\system32\quartz.dll
+ 2004-08-04 12:00 . 2010-05-06 10:31	5950976              c:\windows\system32\mshtml.dll
+ 2009-03-08 02:32 . 2010-05-06 10:31	1985536              c:\windows\system32\iertutil.dll
- 2009-03-08 02:32 . 2010-02-25 06:15	1985536              c:\windows\system32\iertutil.dll
+ 2004-08-04 12:00 . 2010-04-08 12:03	2113536              c:\windows\system32\dllcache\WMVCore.dll
+ 2008-10-16 01:04 . 2010-05-02 08:05	1851392              c:\windows\system32\dllcache\win32k.sys
+ 2008-06-26 08:12 . 2010-05-06 10:31	1209344              c:\windows\system32\dllcache\urlmon.dll
- 2008-06-26 08:12 . 2010-02-25 06:15	1209344              c:\windows\system32\dllcache\urlmon.dll
- 2008-05-07 05:10 . 2009-11-27 17:11	1297408              c:\windows\system32\dllcache\quartz.dll
+ 2008-05-07 05:10 . 2010-02-05 18:25	1297408              c:\windows\system32\dllcache\quartz.dll
+ 2008-04-21 06:42 . 2010-05-06 10:31	5950976              c:\windows\system32\dllcache\mshtml.dll
+ 2009-09-05 22:15 . 2010-05-06 10:31	1985536              c:\windows\system32\dllcache\iertutil.dll
- 2009-09-05 22:15 . 2010-02-25 06:15	1985536              c:\windows\system32\dllcache\iertutil.dll
- 2008-05-27 23:35 . 2008-05-27 23:35	1265664              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.Web.dll
+ 2010-04-01 09:42 . 2010-04-01 09:42	1265664              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.Web.dll
+ 2010-04-01 09:42 . 2010-04-01 09:42	1232896              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.dll
- 2008-05-27 23:35 . 2008-05-27 23:35	1232896              c:\windows\Microsoft.NET\Framework\v1.1.4322\System.dll
+ 2010-03-31 12:50 . 2010-03-31 12:50	2514944              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll
- 2008-05-27 22:48 . 2008-05-27 22:48	2514944              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll
+ 2010-03-31 12:50 . 2010-03-31 12:50	2527232              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorsvr.dll
+ 2010-04-01 09:42 . 2010-04-01 09:42	2142208              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll
- 2008-05-27 22:43 . 2008-05-27 22:43	2142208              c:\windows\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll
+ 2010-06-14 15:09 . 2010-02-25 06:15	1209344              c:\windows\ie8updates\KB982381-IE8\urlmon.dll
+ 2010-06-14 15:09 . 2010-02-25 06:15	5944832              c:\windows\ie8updates\KB982381-IE8\mshtml.dll
+ 2010-06-14 15:09 . 2010-02-25 06:15	1985536              c:\windows\ie8updates\KB982381-IE8\iertutil.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	1966080              c:\windows\assembly\NativeImages1_v1.1.4322\System\1.0.5000.0__b77a5c561934e089_2dc68b3b\System.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	2088960              c:\windows\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_fe944387\System.Xml.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	3018752              c:\windows\assembly\NativeImages1_v1.1.4322\System.Windows.Forms\1.0.5000.0__b77a5c561934e089_fcab0fc2\System.Windows.Forms.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	1466368              c:\windows\assembly\NativeImages1_v1.1.4322\System.Design\1.0.5000.0__b03f5f7f11d50a3a_92b35f95\System.Design.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	3391488              c:\windows\assembly\NativeImages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_59c8e6de\mscorlib.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	1232896              c:\windows\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll
- 2009-10-16 01:00 . 2009-10-16 01:00	1232896              c:\windows\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll
+ 2010-06-14 15:10 . 2010-06-14 15:10	1265664              c:\windows\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll
- 2009-10-16 01:00 . 2009-10-16 01:00	1265664              c:\windows\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll
+ 2007-08-20 10:17 . 2010-05-28 19:37	32472008              c:\windows\system32\MRT.exe
+ 2009-03-08 02:39 . 2010-05-06 10:31	11076096              c:\windows\system32\ieframe.dll
+ 2009-09-05 22:15 . 2010-05-06 10:31	11076096              c:\windows\system32\dllcache\ieframe.dll
+ 2010-04-02 17:29 . 2010-04-02 17:29	11413504              c:\windows\Microsoft.NET\Framework\v1.1.4322\Updates\M979906\M979906Uninstall.msp
+ 2010-04-02 10:30 . 2010-04-02 10:30	17456640              c:\windows\Installer\3979d43.msp
+ 2010-06-14 15:09 . 2010-02-25 09:45	11070976              c:\windows\ie8updates\KB982381-IE8\ieframe.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"egui"="c:\programme\ESET Antivirus\egui.exe" [2010-04-07 2145000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
f   Micros-Fidelio -  FO Server.lnk - d:\fidelio\program\FOSERVER.EXE [2007-5-22 14167552]
i    Micros-Fidelio -  Interface.lnk - d:\batch\IFCSTART.BAT [2007-5-21 10929]
NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-18 07:58	40368	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-08-11 18:43	1519616	----a-w-	c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04	2879488	----a-w-	c:\windows\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=
"d:\\fidelio\\program\\Ifc7.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"38293:TCP"= 38293:TCP:IP PORT 38293
"1521:TCP"= 1521:TCP:IP PORT 1521
"443:TCP"= 443:TCP:IP PORT 443
"1621:TCP"= 1621:TCP:IP PORT 1621
"5900:TCP"= 5900:TCP:IP PORT 5900
"4400:TCP"= 4400:TCP:IP PORT 4400
"2967:TCP"= 2967:TCP:IP PORT 2967

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:08 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:09 95872]
R2 ekrn;ESET Service;c:\programme\ESET Antivirus\ekrn.exe [07.04.2010 21:08 810120]
R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]
R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]
R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]
R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]
R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-06-14 c:\windows\Tasks\Fidelio Folio spool fo_data Sicherung.job
- c:\windows\system32\ntbackup.exe [2004-08-04 02:22]

2010-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]

2010-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-14 23:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D9A78A]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75f4f28
\Driver\atapi -> atapi.sys @ 0xf7427852
\Driver\iaStor -> ntkrnlpa.exe @ 0x8057c2df
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
 ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85e00ad0
 PacketIndicateHandler -> NDIS.sys @ 0xf7288a21
 SendHandler -> NDIS.sys @ 0xf726687b
user & kernel MBR OK 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,a8,21,0b,c6,97,4a,4a,84,b2,14,\
.
Zeit der Fertigstellung: 2010-06-14  23:21:26
ComboFix-quarantined-files.txt  2010-06-14 21:21
ComboFix2.txt  2010-06-07 23:23
ComboFix3.txt  2010-06-06 20:58
ComboFix4.txt  2010-06-05 14:16

Vor Suchlauf: 11 Verzeichnis(se), 22.381.629.440 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 22.359.142.400 Bytes frei

- - End Of File - - 635640D293F13883AF14F3FCBEC1FCBC
Mit OTL Log kann ich leider nicht dienen, denn das Programm hängt an der gleichen Stelle, wie im vorigen Post in der Fusszeile des Bildes gezeigt.

Das kommt mir spanisch vor, denn der PC läuft ansonsten normal und der Virescanner meckert gar nicht mehr.

Also dann: Jetzt Du wieder

Gruss,
Winfried

Alt 15.06.2010, 14:46   #25
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Lass OTL mal wie folgt laufen

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 15.06.2010, 18:44   #26
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Zitat:
Zitat von Larusso Beitrag anzeigen
Lass OTL mal wie folgt laufen

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Hallo Daniel,

das Ganze mit oder ohne Custom Code?

Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
svchost /rs
%systemdrive%\svchost.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs
Gruss,
Winfried

Alt 15.06.2010, 20:17   #27
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Natürlich ohne
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 16.06.2010, 21:57   #28
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


OK. Das ging jetzt, ging aber viel schneller als sonst.

Hier die Ergebnisse:

OTL.txt
Code:
ATTFilter
OTL logfile created on: 16.06.2010 22:40:05 - Run 3
OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 536,00 Mb Available Physical Memory | 52,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
Drive J: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive L: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Q: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive T: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive U: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive V: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive X: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Y: | 232,88 Gb Total Space | 230,98 Gb Free Space | 99,18% Space Free | Partition Type: NTFS
Drive Z: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
 
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.06.14 21:09:00 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
PRC - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\ekrn.exe
PRC - [2010.04.07 21:08:30 | 002,145,000 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\egui.exe
PRC - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) -- C:\Programme\HospiX Entry\g4.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin
PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe
PRC - [2006.07.14 14:53:20 | 010,957,312 | ---- | M] (Fidelio Research) -- U:\FOBACKUP.EXE
PRC - [2005.03.31 02:33:20 | 000,180,224 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndasmgmt.exe
PRC - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndassvc.exe
PRC - [2001.08.18 04:54:46 | 000,032,256 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\BrmfRsmg.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.06.14 21:09:00 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.04.07 21:13:20 | 000,033,560 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Programme\ESET Antivirus\EHttpSrv.exe -- (EhttpSrv)
SRV - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) [Auto | Running] -- C:\Programme\ESET Antivirus\ekrn.exe -- (ekrn)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)
SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Running] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)
DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)
DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)
DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)
DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)
DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)
DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)
DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)
DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)
DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)
DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET Antivirus\Mozilla Thunderbird [2010.06.07 12:16:42 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2010.06.08 01:16:50 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [egui] C:\Programme\ESET Antivirus\egui.exe (ESET)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk = D:\fidelio\program\FOSERVER.EXE (Fidelio Research)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk = D:\batch\IFCSTART.BAT ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2000.05.04 22:24:18 | 000,000,438 | ---- | M] () - V:\AUTOEXEC.NT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.06.16 22:36:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent
[2010.06.15 21:41:48 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.06.15 21:09:52 | 000,000,000 | ---D | C] -- C:\Programme\DVD Audio Extractor
[2010.06.15 11:48:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FESPA
[2010.06.14 23:21:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.06.14 21:06:58 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.14 05:14:46 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.06.14 00:55:34 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2010.06.14 00:51:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help
[2010.06.14 00:51:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Help
[2010.06.09 01:44:04 | 000,499,712 | ---- | C] (eSage Lab) -- C:\remover.exe
[2010.06.08 20:18:35 | 000,444,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\TFC.exe
[2010.06.08 16:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.06.07 12:23:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.06.07 12:19:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.06.07 12:16:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2010.06.07 11:57:43 | 000,000,000 | ---D | C] -- C:\Programme\ESET Antivirus
[2010.06.07 03:01:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.06.07 03:01:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2010.06.06 22:33:31 | 000,000,000 | ---D | C] -- C:\CoFi3249C
[2010.06.06 22:33:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
[2010.06.05 16:00:28 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.06.05 15:59:12 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.06.05 15:59:12 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.06.05 15:59:12 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.06.05 15:59:12 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.06.05 15:58:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.06.05 15:58:56 | 000,000,000 | ---D | C] -- C:\CoFi
[2010.06.05 15:58:26 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.06.05 08:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.06.05 06:20:14 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.06.05 05:06:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.06.05 04:36:51 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.06.05 04:36:44 | 000,000,000 | ---D | C] -- C:\rsit
[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml
[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp
 
========== Files - Modified Within 30 Days ==========
 
[2010.06.16 22:23:56 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini
[2010.06.16 22:23:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.06.16 13:45:05 | 000,001,030 | ---- | M] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job
[2010.06.16 06:23:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.15 21:21:10 | 000,001,664 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdae.config
[2010.06.15 21:11:39 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT
[2010.06.14 23:51:03 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.14 23:50:03 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini
[2010.06.14 23:50:02 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp
[2010.06.14 23:49:44 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.14 23:49:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.14 23:49:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini
[2010.06.14 23:49:05 | 004,843,748 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.06.14 23:41:02 | 000,088,517 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL Hang 14.06.10 2335.JPG
[2010.06.14 23:20:29 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.06.14 23:13:41 | 003,707,755 | R--- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
[2010.06.14 21:09:00 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.14 18:25:05 | 000,107,008 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.09 02:08:38 | 000,001,535 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Octoshape Streaming Services.lnk
[2010.06.09 01:49:56 | 000,054,840 | ---- | M] () -- C:\Bootkit.JPG
[2010.06.08 20:18:41 | 000,444,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\TFC.exe
[2010.06.08 01:16:50 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.06.08 01:08:28 | 000,000,653 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f   Micros-Fidelio -  FO Server.lnk
[2010.06.08 01:08:28 | 000,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i    Micros-Fidelio -  Interface.lnk
[2010.06.07 19:57:22 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe
[2010.06.07 11:29:16 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
[2010.06.06 18:32:45 | 000,000,000 | ---- | M] () -- C:\debug
[2010.06.05 16:00:33 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.06.05 05:06:15 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.05 03:58:32 | 000,824,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe
[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com
[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe
[2010.06.05 02:06:38 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe
[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1
[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls
[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF
[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe
 
========== Files Created - No Company Name ==========
 
[2010.06.15 21:19:39 | 000,001,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdae.config
[2010.06.14 23:41:02 | 000,088,517 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL Hang 14.06.10 2335.JPG
[2010.06.14 21:06:48 | 003,707,755 | R--- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
[2010.06.09 01:49:56 | 000,054,840 | ---- | C] () -- C:\Bootkit.JPG
[2010.06.07 11:51:52 | 000,001,030 | ---- | C] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job
[2010.06.06 23:04:33 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe
[2010.06.06 18:32:45 | 000,000,000 | ---- | C] () -- C:\debug
[2010.06.06 18:29:19 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
[2010.06.05 16:00:33 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.06.05 16:00:29 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.06.05 15:59:12 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.06.05 15:59:12 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.06.05 15:59:12 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.06.05 15:59:12 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.06.05 15:59:12 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.06.05 04:57:55 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com
[2010.06.05 04:34:26 | 000,824,681 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe
[2010.06.05 02:54:27 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe
[2010.06.05 02:25:24 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe
[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini
[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
< End of report >
Extra.txt
Code:
ATTFilter
OTL Extras logfile created on: 16.06.2010 22:40:05 - Run 3
OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 536,00 Mb Available Physical Memory | 52,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 29,29 Gb Total Space | 13,79 Gb Free Space | 47,09% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
Drive J: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive L: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Q: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive T: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive U: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive V: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive X: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Y: | 232,88 Gb Total Space | 230,98 Gb Free Space | 99,18% Space Free | Partition Type: NTFS
Drive Z: | 101,56 Gb Total Space | 94,90 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
 
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293
"1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521
"443:TCP" = 443:TCP:*:Enabled:IP PORT 443
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621
"5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900
"4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400
"2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC)
"C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC)
"D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.)
"C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH)
"C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02C23509-87A8-4CFA-B6B9-713A078404AA}" = ESET NOD32 Antivirus
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"ActiveTouchMeetingClient" = WebEx
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.06.2010 20:43:20 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 13.06.2010 06:44:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 13.06.2010 06:44:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 13.06.2010 08:45:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 13.06.2010 08:45:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 13.06.2010 15:31:28 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 13.06.2010 15:31:28 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 13.06.2010 17:46:03 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 13.06.2010 18:26:46 | Computer Name = MFSRV01 | Source = pcAnywhere | ID = 118
Description = 
 
Error - 14.06.2010 07:39:03 | Computer Name = MFSRV01 | Source = NTBackup | ID = 8017
Description = NTBackup-Fehler: 'Der Vorgang ist fehlgeschlagen. Weitere Informationen
 finden Sie im Sicherungsbericht.'
 
[ System Events ]
Error - 13.06.2010 18:23:09 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - Service Controller" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 13.06.2010 18:23:09 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - Call data import" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 13.06.2010 18:23:09 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - PMS Connector" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - Service Controller" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - AAA Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - PBX Interface" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - Call data import" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "HospiX Entry - PMS Connector" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 14.06.2010 11:04:13 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7034
Description = Dienst "NDAS Service" wurde unerwartet beendet. Dies ist bereits 1
 Mal passiert.
 
 
< End of report >
Na, dann schau mal ...

Gruss,
Winfried

Alt 17.06.2010, 14:24   #29
Larusso
/// Selecta Jahrusso
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Sieht alles gut aus
Hattest Du einmal Avira Antivir am System ?


Schritt 1

Update bitte Malwarebytes und lass es einen Quick Scan laufen.


Schritt 2
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.
.


Bitte poste in Deiner nächsten Antwort
Log von Malwarebytes
Kaspersky.txt
Berichte ob von deiner Seite aus noch Probleme vorhanden sind
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 17.06.2010, 15:24   #30
wgh52
 
Antispyware Soft Infektion - Standard

Antispyware Soft Infektion


Hallo Daniel,

Avira hatte ich eine Zeit lang auf dem Rechner, ist aber seit langem schon deinstalliert (dachte ich).

Hier ist der Malwarebytes Scan, es wurde allerdings ein infizierter Registry key gefunden, den ich aber erstmal noch nicht behandelt habe:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4209

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.06.2010 16:21:03
mbam-log-2010-06-17 (16-21-03).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 156364
Laufzeit: 5 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Kaspersky mache ich gleich noch.

Gruss,
Winfried

Antwort
Seite 2 von 3 1 2 3

Themen zu Antispyware Soft Infektion
adware.ezlife, anti-malware, antimalware, antispyware, antivirus, application cannot be executed., automatisch, cleansweep.exe, dateien, downloader, explorer, hijack.folderoptions, infektion, malwarebytes, malwarebytes' anti-malware, microsoft, problem, rechner, rogue.antimalwaredoctor, software, sshnas21.dll, starten, system, system32, temp, trojan.agent, trojan.downloader, trojan.dropper, winlogon.exe, zufällig


« Ist mein Icq-Virus nach Formatierung weg? | Selbstkopierender Virus ? »


Ähnliche Themen: Antispyware Soft Infektion


  1. Antispyware Soft Virus
    Log-Analyse und Auswertung - 15.06.2010 (59)
  2. Antispyware Soft - Trojaner und Probleme mit dem IE
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (17)
  3. Antispyware soft erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 02.06.2010 (14)
  4. Problem mit Antispyware Soft
    Log-Analyse und Auswertung - 01.06.2010 (7)
  5. Antispyware Soft Demo
    Plagegeister aller Art und deren Bekämpfung - 27.05.2010 (4)
  6. Antispyware Soft / Antivirus Soft -- auf einem Benutzerkonto weg / auf dem anderen da
    Log-Analyse und Auswertung - 26.05.2010 (0)
  7. Antispyware Soft
    Log-Analyse und Auswertung - 21.05.2010 (7)
  8. Antispyware Soft entdeckt
    Plagegeister aller Art und deren Bekämpfung - 16.05.2010 (1)
  9. Antispyware soft
    Log-Analyse und Auswertung - 11.05.2010 (7)
  10. Antispyware-Soft ...
    Plagegeister aller Art und deren Bekämpfung - 07.05.2010 (1)
  11. AntiSpyWare Soft
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (23)
  12. AntiSpyWare Soft, blockiert Problemlösungen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (3)
  13. AntiSpyWare Soft kommt wieder
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (1)
  14. was tun bei „Antispyware soft“
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (7)
  15. was tun bei „Antispyware soft“
    Mülltonne - 03.05.2010 (18)
  16. Habe ANTISPYWARE SOFT ?????
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (1)
  17. Antispyware Soft entfernen
    Anleitungen, FAQs & Links - 25.04.2010 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Antispyware Soft Infektion - Hallo Daniel, UltraVNC sollte kein Problem sein, das kann man wieder installieren, falls es gebraucht wird. Hier der MBR.log: Code: Alles auswählen Aufklappen ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by - Antispyware Soft Infektion...
Archiv
Du betrachtest: Antispyware Soft Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55