merkwürdige Dateien im Autostart

blabla · 07.06.2010, 15:58

das Bild was im Anhang ist zeigt meinen Autostart im CCleaner.
Ich hatte mir letztens ein paar viren eingefangen und seitdem sind da merkwürdige progamme drin. Ich kann leider nicht zuordnen, was es ist. ich weiß das noch viren drauf sind aber ich kann sie nicht finden.
hoffe auf viel Hilfe

danke im vorraus

ps.: abgesehen von Avira und Nero kann ich von den schwarzen einträgen nichts zuordnen.
achja hab windows XP 32 bit
alles andere einfach fragen

Larusso · 07.06.2010, 16:04

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

blabla · 07.06.2010, 16:40

Ich kann die Texte zwar einfügen, aber wenn ich abschicken will, wird der Server zurückgesetzt.
So war es schonmal bei dem Versuch ein Hijack reinzuposten.

Währrend des Suchlaufs sagte Avira:

Zitat:

In der Datei 'C:\WINDOWS\Temp\frjr.tmp\svchost.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Larusso · 07.06.2010, 16:47

Kannst Du die Logfile bei File-Upload.net hochladen und mir den Downloadlink posten ?

blabla · 07.06.2010, 16:54

hxxp://www.file-upload.net/download-2581538/Extras.Txt.html
bzw
hxxp://www.file-upload.net/download-2581535/OTL.Txt.html

Larusso · 07.06.2010, 17:10

Hy,

Zitat:

NOT logged in as Administrator.

WIr benötigen für die nächsten Schritte Adminstrative Rechte.

Schritt 1

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
PRC - [2009.02.09 12:51:43 | 000,786,944 | R--- | M] () -- C:\WINDOWS\system32\sdra64.exe
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [MChk] C:\WINDOWS\system32\jncegivq.exe ()
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [skb] C:\WINDOWS\System32\uppqhbrc.dll ()
O4 - HKCU..\Run: [userinit] C:\Dokumente und Einstellungen\Jonas nur Spiele\Anwendungsdaten\sdra64.exe ()
O4 - HKLM..\RunOnceEx: [Flag] Reg Error: Invalid data type. File not found
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Jonas nur Spiele\Anwendungsdaten\sdra64.exe) - C:\Dokumente und Einstellungen\Jonas nur Spiele\Anwendungsdaten\sdra64.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\system32\sdra64.exe ()
[2010.06.04 00:13:36 | 000,309,760 | ---- | M] () -- C:\WINDOWS\System32\nznnhkyb.dll
[2010.06.04 00:11:38 | 000,327,680 | ---- | M] () -- C:\WINDOWS\System32\uppqhbrc.dll
[2010.06.07 17:32:33 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\avprnzsn.sys
[2010.06.05 18:42:56 | 000,000,001 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas nur Spiele\oashdihasidhasuidhiasdhiashdiuasdhasd
[2010.05.24 18:31:20 | 000,040,633 | ---- | M] () -- C:\WINDOWS\System32\jncegivq.exe
[2010.06.02 15:53:04 | 000,050,981 | ---- | C] () -- C:\WINDOWS\System32\pcsperzogd.exe
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\PAINT.exe:SummaryInformation
:services
:files
:reg
:Commands
[purity]
[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte poste in Deiner nächsten Antwort
Log von OTLfix
Gmer.txt
OTL.txt

blabla · 07.06.2010, 17:34

Das kam nach dem Neustart:

Zitat:

All processes killed
========== OTL ==========
No active process named sdra64.exe was found!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0124123D-61B4-456f-AF86-78C53A0790C5}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MChk deleted successfully.
C:\WINDOWS\system32\jncegivq.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\skb deleted successfully.
C:\WINDOWS\system32\uppqhbrc.dll moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\userinit deleted successfully.
C:\Dokumente und Einstellungen\Jonas nur Spiele\Anwendungsdaten\sdra64.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\\Flag deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Jonas nur Spiele\Anwendungsdaten\sdra64.exe deleted successfully.
File C:\Dokumente und Einstellungen\Jonas nur Spiele\Anwendungsdaten\sdra64.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.
File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\nznnhkyb.dll moved successfully.
File C:\WINDOWS\System32\uppqhbrc.dll not found.
File move failed. C:\WINDOWS\system32\drivers\avprnzsn.sys scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\Jonas nur Spiele\oashdihasidhasuidhiasdhiashdiuasdhasd moved successfully.
File C:\WINDOWS\System32\jncegivq.exe not found.
C:\WINDOWS\system32\pcsperzogd.exe moved successfully.
ADS C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\PAINT.exe:SummaryInformation deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Administrator.SCHATZI
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 82054 bytes

User: All Users

User: Besitzer

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 82054 bytes

User: HelpAssistant
->Temp folder emptied: 98618 bytes
->Temporary Internet Files folder emptied: 474943 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 11264 bytes
->Flash cache emptied: 5 bytes

User: HelpAssistant.SCHATZI
->Temp folder emptied: 3875833 bytes
->Temporary Internet Files folder emptied: 5752479 bytes
->Java cache emptied: 3035 bytes
->FireFox cache emptied: 1740325 bytes
->Flash cache emptied: 5477 bytes

User: Jonas

User: Jonas nur Spiele
->Temp folder emptied: 1622182 bytes
->Temporary Internet Files folder emptied: 862928 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 35529020 bytes
->Flash cache emptied: 1040 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 353811 bytes

User: NetworkService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 874981 bytes
->Flash cache emptied: 0 bytes

User: Sunny Net
->Temp folder emptied: 819960 bytes
->Temporary Internet Files folder emptied: 3131419 bytes
->Java cache emptied: 3035 bytes
->FireFox cache emptied: 26439643 bytes
->Flash cache emptied: 0 bytes

User: Uli.SCHATZI

User: Utily
->Temp folder emptied: 60823 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 32375659 bytes
->Apple Safari cache emptied: 139253 bytes
->Flash cache emptied: 3478 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6474 bytes
%systemroot%\System32 .tmp files removed: 19742183 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2398759 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 130,00 mb

OTL by OldTimer - Version 3.2.5.3 log created on 06072010_183037

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\avprnzsn.sys scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\$$$dq3e scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\$67we.$ scheduled to be moved on reboot.

Registry entries deleted on Reboot...

GMER Logfile:
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-07 18:50:27
Windows 5.1.2600 Service Pack 3
Running: j4s3uq5z.exe; Driver: C:\DOKUME~1\JONASN~1\LOKALE~1\Temp\fxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT            F7AA98C6                                                                                                                                                  ZwCreateKey
SSDT            F7AA98BC                                                                                                                                                  ZwCreateThread
SSDT            F7AA98CB                                                                                                                                                  ZwDeleteKey
SSDT            F7AA98D5                                                                                                                                                  ZwDeleteValueKey
SSDT            F7AA98DA                                                                                                                                                  ZwLoadKey
SSDT            F7AA98A8                                                                                                                                                  ZwOpenProcess
SSDT            F7AA98AD                                                                                                                                                  ZwOpenThread
SSDT            F7AA98E4                                                                                                                                                  ZwReplaceKey
SSDT            F7AA98DF                                                                                                                                                  ZwRestoreKey
SSDT            F7AA98D0                                                                                                                                                  ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\avprnzsn.sys                                                                                                                  Ein an das System angeschlossenes Gerät funktioniert nicht. !
PAGE            Ntfs.sys                                                                                                                                                  F71D5E55 4 Bytes  CALL 86BB33D1 
.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                                                  section is writeable [0xF6B8B000, 0x1B601E, 0xE8000020]
.text           C:\WINDOWS\system32\drivers\SSHDRV86.sys                                                                                                                  section is writeable [0xEE601000, 0x26354, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\SSHDRV86.sys                                                                                                                  entry point in ".pklstb" section [0xEE636000]
.relo2          C:\WINDOWS\system32\drivers\SSHDRV86.sys                                                                                                                  unknown last section [0xEE64D000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[460] WS2_32.dll!closesocket                                                                                  71A13E2B 5 Bytes  JMP 009D2862 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[460] WS2_32.dll!send                                                                                         71A14C27 5 Bytes  JMP 009D26EE 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[460] WS2_32.dll!WSARecv                                                                                      71A14CB5 5 Bytes  JMP 009D27E0 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[460] WS2_32.dll!recv                                                                                         71A1676F 5 Bytes  JMP 009D2726 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[460] WS2_32.dll!WSASend                                                                                      71A168FA 5 Bytes  JMP 009D275E 
.text           C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] ws2_32.dll!WSARecv                                                                                   71A14CB5 5 Bytes  JMP 015B27E0 
.text           C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] ws2_32.dll!recv                                                                                      71A1676F 5 Bytes  JMP 015B2726 
.text           C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] ws2_32.dll!WSASend                                                                                   71A168FA 5 Bytes  JMP 015B275E 
.text           C:\WINDOWS\Explorer.EXE[568] ntdll.dll!NtProtectVirtualMemory                                                                                             7C91D6EE 5 Bytes  JMP 00B7000A 
.text           C:\WINDOWS\Explorer.EXE[568] ntdll.dll!NtWriteVirtualMemory                                                                                               7C91DFAE 5 Bytes  JMP 00BD000A 
.text           C:\WINDOWS\Explorer.EXE[568] ntdll.dll!KiUserExceptionDispatcher                                                                                          7C91E47C 5 Bytes  JMP 00B6000C 
.text           C:\Programme\Bonjour\mDNSResponder.exe[604] WS2_32.dll!WSARecv                                                                                            71A14CB5 5 Bytes  JMP 011F27E0 
.text           C:\Programme\Bonjour\mDNSResponder.exe[604] WS2_32.dll!recv                                                                                               71A1676F 5 Bytes  JMP 011F2726 
.text           C:\Programme\Bonjour\mDNSResponder.exe[604] WS2_32.dll!WSASend                                                                                            71A168FA 5 Bytes  JMP 011F275E 
.text           C:\WINDOWS\system32\Ati2evxx.exe[1108] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 01352862 
.text           C:\WINDOWS\system32\Ati2evxx.exe[1108] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 013526EE 
.text           C:\WINDOWS\system32\Ati2evxx.exe[1108] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 013527E0 
.text           C:\WINDOWS\system32\Ati2evxx.exe[1108] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 01352726 
.text           C:\WINDOWS\system32\Ati2evxx.exe[1108] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 0135275E 
.text           C:\WINDOWS\System32\svchost.exe[1512] ntdll.dll!NtProtectVirtualMemory                                                                                    7C91D6EE 3 Bytes  JMP 0092000A 
.text           C:\WINDOWS\System32\svchost.exe[1512] ntdll.dll!NtProtectVirtualMemory + 4                                                                                7C91D6F2 1 Byte  [84]
.text           C:\WINDOWS\System32\svchost.exe[1512] ntdll.dll!NtWriteVirtualMemory                                                                                      7C91DFAE 5 Bytes  JMP 0093000A 
.text           C:\WINDOWS\System32\svchost.exe[1512] ntdll.dll!KiUserExceptionDispatcher                                                                                 7C91E47C 5 Bytes  JMP 0091000C 
.text           C:\WINDOWS\System32\svchost.exe[1512] ole32.dll!CoCreateInstance                                                                                          774D057E 5 Bytes  JMP 00AE000A 
.text           C:\WINDOWS\SYSTEM32\Ati2evxx.exe[1532] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 01222862 
.text           C:\WINDOWS\SYSTEM32\Ati2evxx.exe[1532] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 012226EE 
.text           C:\WINDOWS\SYSTEM32\Ati2evxx.exe[1532] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 012227E0 
.text           C:\WINDOWS\SYSTEM32\Ati2evxx.exe[1532] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 01222726 
.text           C:\WINDOWS\SYSTEM32\Ati2evxx.exe[1532] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 0122275E 
.text           C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] ws2_32.dll!WSARecv                                                     71A14CB5 5 Bytes  JMP 006F27E0 
.text           C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] ws2_32.dll!recv                                                        71A1676F 5 Bytes  JMP 006F2726 
.text           C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] ws2_32.dll!WSASend                                                     71A168FA 5 Bytes  JMP 006F275E 
.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] ws2_32.dll!WSARecv                                                                                   71A14CB5 5 Bytes  JMP 013027E0 
.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] ws2_32.dll!recv                                                                                      71A1676F 5 Bytes  JMP 01302726 
.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] ws2_32.dll!WSASend                                                                                   71A168FA 5 Bytes  JMP 0130275E 
.text           C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\j4s3uq5z.exe[2132] WS2_32.dll!closesocket                                                         71A13E2B 5 Bytes  JMP 01122862 
.text           C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\j4s3uq5z.exe[2132] WS2_32.dll!send                                                                71A14C27 5 Bytes  JMP 011226EE 
.text           C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\j4s3uq5z.exe[2132] WS2_32.dll!WSARecv                                                             71A14CB5 5 Bytes  JMP 011227E0 
.text           C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\j4s3uq5z.exe[2132] WS2_32.dll!recv                                                                71A1676F 5 Bytes  JMP 01122726 
.text           C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\j4s3uq5z.exe[2132] WS2_32.dll!WSASend                                                             71A168FA 5 Bytes  JMP 0112275E 
.text           C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] ws2_32.dll!WSARecv                                                                                              71A14CB5 5 Bytes  JMP 00D227E0 
.text           C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] ws2_32.dll!recv                                                                                                 71A1676F 5 Bytes  JMP 00D22726 
.text           C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] ws2_32.dll!WSASend                                                                                              71A168FA 5 Bytes  JMP 00D2275E 
.text           C:\WINDOWS\Dit.exe[2536] WS2_32.dll!closesocket                                                                                                           71A13E2B 5 Bytes  JMP 01202862 
.text           C:\WINDOWS\Dit.exe[2536] WS2_32.dll!send                                                                                                                  71A14C27 5 Bytes  JMP 012026EE 
.text           C:\WINDOWS\Dit.exe[2536] WS2_32.dll!WSARecv                                                                                                               71A14CB5 5 Bytes  JMP 012027E0 
.text           C:\WINDOWS\Dit.exe[2536] WS2_32.dll!recv                                                                                                                  71A1676F 5 Bytes  JMP 01202726 
.text           C:\WINDOWS\Dit.exe[2536] WS2_32.dll!WSASend                                                                                                               71A168FA 5 Bytes  JMP 0120275E 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2576] WS2_32.dll!closesocket                                                                                 71A13E2B 5 Bytes  JMP 00BE2862 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2576] WS2_32.dll!send                                                                                        71A14C27 5 Bytes  JMP 00BE26EE 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2576] WS2_32.dll!WSARecv                                                                                     71A14CB5 5 Bytes  JMP 00BE27E0 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2576] WS2_32.dll!recv                                                                                        71A1676F 5 Bytes  JMP 00BE2726 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2576] WS2_32.dll!WSASend                                                                                     71A168FA 5 Bytes  JMP 00BE275E 
.text           C:\WINDOWS\system32\ctfmon.exe[2744] WS2_32.dll!closesocket                                                                                               71A13E2B 5 Bytes  JMP 00E12862 
.text           C:\WINDOWS\system32\ctfmon.exe[2744] WS2_32.dll!send                                                                                                      71A14C27 5 Bytes  JMP 00E126EE 
.text           C:\WINDOWS\system32\ctfmon.exe[2744] WS2_32.dll!WSARecv                                                                                                   71A14CB5 5 Bytes  JMP 00E127E0 
.text           C:\WINDOWS\system32\ctfmon.exe[2744] WS2_32.dll!recv                                                                                                      71A1676F 5 Bytes  JMP 00E12726 
.text           C:\WINDOWS\system32\ctfmon.exe[2744] WS2_32.dll!WSASend                                                                                                   71A168FA 5 Bytes  JMP 00E1275E 
.text           C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe[2780] WS2_32.dll!closesocket                                                                    71A13E2B 5 Bytes  JMP 019B2862 
.text           C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe[2780] WS2_32.dll!send                                                                           71A14C27 5 Bytes  JMP 019B26EE 
.text           C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe[2780] WS2_32.dll!WSARecv                                                                        71A14CB5 5 Bytes  JMP 019B27E0 
.text           C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe[2780] WS2_32.dll!recv                                                                           71A1676F 5 Bytes  JMP 019B2726 
.text           C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe[2780] WS2_32.dll!WSASend                                                                        71A168FA 5 Bytes  JMP 019B275E 
.text           C:\WINDOWS\System32\alg.exe[3536] WS2_32.dll!closesocket                                                                                                  71A13E2B 5 Bytes  JMP 00AF2862 
.text           C:\WINDOWS\System32\alg.exe[3536] WS2_32.dll!send                                                                                                         71A14C27 5 Bytes  JMP 00AF26EE 
.text           C:\WINDOWS\System32\alg.exe[3536] WS2_32.dll!WSARecv                                                                                                      71A14CB5 5 Bytes  JMP 00AF27E0 
.text           C:\WINDOWS\System32\alg.exe[3536] WS2_32.dll!recv                                                                                                         71A1676F 5 Bytes  JMP 00AF2726 
.text           C:\WINDOWS\System32\alg.exe[3536] WS2_32.dll!WSASend                                                                                                      71A168FA 5 Bytes  JMP 00AF275E 

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                     01725926
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                               01725811
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                   017257AC
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                           0172577A
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                      01725926
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                0172542D
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                         01725E95
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                         01725BEB
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                0172542D
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                         01725E95
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                           01725BEB
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                           01725E95
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                0172542D
IAT             C:\Programme\Avira\AntiVir Desktop\sched.exe[460] @ C:\WINDOWS\system32\userenv.dll [USER32.dll!EndDialog]                                                0172542D
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                  00135926
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                            00135811
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                001357AC
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                        0013577A
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                        00135BEB
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                        00135E95
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                      00135E95
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!TranslateMessage]                                      00135E95
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!GetClipboardData]                                      00135BEB
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                   00135926
IAT             C:\Programme\Avira\AntiVir Desktop\avshadow.exe[476] @ C:\WINDOWS\system32\userenv.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\Explorer.EXE [USER32.dll!EndDialog]                                                                             00DA542D
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\Explorer.EXE [USER32.dll!TranslateMessage]                                                                      00DA5E95
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                                00DA5BEB
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                                00DA5E95
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                                     00DA542D
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                              00DA5E95
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                                     00DA542D
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                              00DA5E95
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                              00DA5BEB
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                                     00DA542D
IAT             C:\WINDOWS\Explorer.EXE[568] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                           00DA5926
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                           00135926
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                     00135811
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                         001357AC
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                 0013577A
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                            00135926
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                 00135BEB
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                 00135E95
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                      0013542D
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                               00135E95
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                      0013542D
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!EndDialog]                                                      0013542D
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!TranslateMessage]                                               00135E95
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!GetClipboardData]                                               00135BEB
IAT             C:\Programme\Bonjour\mDNSResponder.exe[604] @ C:\WINDOWS\system32\userenv.dll [USER32.dll!EndDialog]                                                      0013542D
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtQueryDirectoryFile]                                                 01F75926
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                                 01F75926
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                           01F75811
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                               01F757AC
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                       01F7577A
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                            01F7542D
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                       01F75BEB
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                       01F75E95
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                            01F7542D
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                     01F75E95
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                            01F7542D
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                  01F75926
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                            01F7542D
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                     01F75E95
IAT             C:\WINDOWS\system32\services.exe[920] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                     01F75BEB
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                                    00FD5926
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                              00FD5811
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                                  00FD57AC
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                          00FD577A
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\LSASRV.dll [ntdll.dll!LdrLoadDll]                                                                00FD5811
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                     00FD5926
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\SAMSRV.dll [ntdll.dll!LdrLoadDll]                                                                00FD5811
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\SAMSRV.dll [ntdll.dll!LdrGetProcedureAddress]                                                    00FD57AC
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                          00FD5BEB
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                          00FD5E95
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                               00FD542D
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                        00FD5E95
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                        00FD5BEB
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                               00FD542D
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                        00FD5E95
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                               00FD542D
IAT             C:\WINDOWS\system32\lsass.exe[932] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                               00FD542D
IAT             C:\WINDOWS\system32\svchost.exe[1140] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                       00F8577A
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                                 01215926
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                           01215811
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                               012157AC
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                       0121577A
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                       01215BEB
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                       01215E95
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                            0121542D
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                     01215E95
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                     01215BEB
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                            0121542D
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                     01215E95
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                            0121542D
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                            0121542D
IAT             C:\WINDOWS\system32\svchost.exe[1256] @ c:\windows\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                  01215926
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                                 00405926
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                           00405811
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                               004057AC
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                       0040577A
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                       00405BEB
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                       00405E95
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                            0040542D
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                     00405E95
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                     00405BEB
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                            0040542D
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                     00405E95
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                            0040542D
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                            0040542D
IAT             C:\WINDOWS\system32\svchost.exe[1324] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                  00405926
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                       01EE5BEB
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                       01EE5E95
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                            01EE542D
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                     01EE5E95
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                     01EE5BEB
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                            01EE542D
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                     01EE5E95
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                            01EE542D
IAT             C:\WINDOWS\System32\svchost.exe[1512] @ C:\WINDOWS\System32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                  01EE5926
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]    00135926
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]              00135811
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]  001357AC
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]          0013577A
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]               0013542D
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]        00135E95
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]        00135BEB
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]               0013542D
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]        00135E95
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]               0013542D
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]          00135BEB
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]          00135E95
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]               0013542D
IAT             C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1628] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]     00135926
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                                 008F5926
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                           008F5811
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                               008F57AC
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                       008F577A
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                       008F5BEB
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                       008F5E95
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                            008F542D
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                     008F5E95
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                     008F5BEB
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                            008F542D
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                     008F5E95
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                            008F542D
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                            008F542D
IAT             C:\WINDOWS\system32\svchost.exe[1708] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                  008F5926
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                  00135926
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                            00135811
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                001357AC
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                        0013577A
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                      00135E95
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                      00135BEB
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                      00135E95
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                        00135BEB
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                        00135E95
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                   00135926
IAT             C:\Programme\Avira\AntiVir Desktop\avguard.exe[1816] @ C:\WINDOWS\system32\userenv.dll [USER32.dll!EndDialog]                                             0013542D
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                             00135926
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                       00135811
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                           001357AC
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                   0013577A
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                        0013542D
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                 00135E95
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                   00135BEB
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                   00135E95
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                        0013542D
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!EndDialog]                                                        0013542D
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!TranslateMessage]                                                 00135E95
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!GetClipboardData]                                                 00135BEB
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                              00135926
IAT             C:\Programme\HHVcdV5Sys\VC5SecS.exe[2176] @ C:\WINDOWS\system32\userenv.dll [USER32.dll!EndDialog]                                                        0013542D
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile]                                                     00405926
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll]                                                               00405811
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress]                                                   004057AC
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread]                                                           0040577A
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData]                                                           00405BEB
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage]                                                           00405E95
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\System32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile]                                                      00405926
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!EndDialog]                                                                0040542D
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage]                                                         00405E95
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData]                                                         00405BEB
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!EndDialog]                                                                0040542D
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage]                                                         00405E95
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!EndDialog]                                                                0040542D
IAT             C:\WINDOWS\System32\alg.exe[3536] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!EndDialog]                                                                0040542D

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                                    86B47428

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                                    SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)

Device          \Driver\Cdrom \Device\CdRom0                                                                                                                              86B59B78
Device          \Driver\Cdrom \Device\CdRom0                                                                                                                              8625A010
Device          \Driver\Cdrom \Device\CdRom1                                                                                                                              86B59B78
Device          \Driver\Cdrom \Device\CdRom1                                                                                                                              8625A010
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                                        86B686E0
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                                        86B686E0
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                                                        86B686E0
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                                                        86B686E0
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-13                                                                                                              86B686E0
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-1b                                                                                                              86B686E0
Device          \Driver\Cdrom \Device\CdRom2                                                                                                                              86B59B78
Device          \Driver\Cdrom \Device\CdRom2                                                                                                                              8625A010
Device          \Driver\Cdrom \Device\CdRom3                                                                                                                              86B59B78
Device          \Driver\Cdrom \Device\CdRom3                                                                                                                              8625A010
Device          \Driver\Cdrom \Device\CdRom4                                                                                                                              86B59B78
Device          \Driver\Cdrom \Device\CdRom4                                                                                                                              8625A010
Device          \Driver\Cdrom \Device\CdRom5                                                                                                                              86B59B78
Device          \Driver\Cdrom \Device\CdRom5                                                                                                                              8625A010
Device          \Driver\vbev5mp \Device\Scsi\vbev5mp1Port4Path0Target0Lun0                                                                                                862330B0
Device          \Driver\vbev5mp \Device\Scsi\vbev5mp1Port4Path0Target2Lun0                                                                                                862330B0
Device          \Driver\vbev5mp \Device\Scsi\vbev5mp1Port4Path0Target3Lun0                                                                                                862330B0
Device          \Driver\vbev5mp \Device\Scsi\vbev5mp1Port4Path0Target1Lun0                                                                                                862330B0
Device          \Driver\vbev5mp \Device\Scsi\vbev5mp1                                                                                                                     862330B0

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                  SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )                                                                                                                                        [BOOT] avprnzsn                                                          <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\avprnzsn@Type                                                                                                      1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\avprnzsn@Start                                                                                                     0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\avprnzsn@ErrorControl                                                                                              0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\avprnzsn@Group                                                                                                     Boot Bus Extender
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cdawdm\ParaMeters\PnpInterface@1                                                                                   1
Reg             HKLM\SYSTEM\ControlSet002\Services\cdawdm\ParaMeters\PnpInterface@1                                                                                       1
Reg             HKLM\SOFTWARE\Classes\.mgbnd\VIA Rhine III Fast Ethernet Adapter - Paketplaner-Miniport@2010-06-07                                                        6360|489832|78716
Reg             HKLM\SOFTWARE\Classes\.mgcpu@2010-06-07                                                                                                                   42

---- EOF - GMER 1.0.15 ----

--- --- ---
[/CODE]
--- --- ---

Hier noch die Otl.txt datei: hxxp://www.file-upload.net/download-2581723/OTL.Txt.html
wenn du die extras.txt datei brauchst sag bescheid.

Larusso · 07.06.2010, 19:01

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

blabla · 07.06.2010, 19:46

woa das war gruselig^^
Kannst du mir in Nachhinein kurz zusammengefasst erklären, was war, was wir gemacht haben und was jetzt ist?
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-06-07.01 - Jonas nur Spiele 07.06.2010  20:29:48.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Jonas nur Spiele\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\HelpAssistant.SCHATZI\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\dokumente und einstellungen\HelpAssistant\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\avdrn.dat
c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\DB351BAFD30E2B35F7F3FA48F6534313
c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\DB351BAFD30E2B35F7F3FA48F6534313\enemies-names.txt
c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\DB351BAFD30E2B35F7F3FA48F6534313\local.ini
c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\DB351BAFD30E2B35F7F3FA48F6534313\lsrslt.ini
c:\dokumente und einstellungen\Sunny Net\evsetup.exe
C:\Install.exe
c:\windows\system\SET8B.tmp
c:\windows\system\SETB4.tmp
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
E:\Autorun.inf

Infizierte Kopie von c:\windows\system32\drivers\rdpcdd.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
Infizierte Kopie von c:\windows\system32\midimap.dll wurde gefunden und desinfiziert 
Kopie von - c:\windows\NiwradSoft Shell Pack\Backup\midimap.dll wurde wiederhergestellt 

c:\windows\system32\grpconv.exe fehlte 
Kopie von - c:\windows\NiwradSoft Shell Pack\Backup\grpconv.exe wurde wiederhergestellt

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OULTRAF
-------\Service_oUltraf


(((((((((((((((((((((((   Dateien erstellt von 2010-05-07 bis 2010-06-07  ))))))))))))))))))))))))))))))
.

2010-06-07 18:36 . 2008-04-14 02:22	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-06-07 16:30 . 2010-06-07 16:30	--------	d-----w-	C:\_OTL
2010-06-06 16:26 . 2010-06-06 16:26	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Uniblue
2010-06-04 13:48 . 2010-06-04 13:48	--------	d-----w-	c:\programme\Trend Micro
2010-06-02 17:20 . 2004-11-23 16:49	--------	d-s---w-	c:\dokumente und einstellungen\HelpAssistant.SCHATZI\UserData
2010-06-02 17:20 . 2004-11-17 00:33	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant.SCHATZI\Vorlagen
2010-06-02 17:20 . 2010-06-07 18:36	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.SCHATZI
2010-06-02 15:53 . 2004-11-23 16:49	--------	d-s---w-	c:\dokumente und einstellungen\HelpAssistant\UserData
2010-06-02 15:53 . 2004-11-17 00:33	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2010-06-02 15:53 . 2004-11-17 00:30	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant\Netzwerkumgebung
2010-06-02 15:53 . 2004-11-17 00:30	--------	d-----r-	c:\dokumente und einstellungen\HelpAssistant\Startmenü
2010-06-02 15:53 . 2010-06-07 18:36	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant
2010-06-02 14:01 . 2010-06-02 14:01	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-02 13:54 . 2010-06-02 13:54	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Sky-Banners
2010-06-02 13:54 . 2010-06-02 13:54	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Street-Ads
2010-06-02 13:54 . 2010-06-04 13:41	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Lokale Einstellungen\Anwendungsdaten\tpyqislla
2010-06-02 13:53 . 2010-06-07 18:41	823808	----a-w-	c:\windows\system32\drivers\avprnzsn.sys
2010-06-02 13:52 . 2010-06-02 13:52	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-06-02 13:52 . 2010-06-02 13:52	--------	d-----w-	c:\programme\$NtUninstallWTF1012$
2010-05-31 14:06 . 2010-06-02 12:57	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Lokale Einstellungen\Anwendungsdaten\TeamSpeak 3 Client
2010-05-26 14:38 . 2010-05-26 14:38	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\LolClient
2010-05-25 18:41 . 2010-06-06 15:27	--------	d-----w-	c:\programme\League of Legends
2010-05-25 17:51 . 2010-05-25 19:52	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Lokale Einstellungen\Anwendungsdaten\PMB Files
2010-05-25 17:50 . 2010-05-25 17:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PMB Files
2010-05-25 17:50 . 2010-05-25 17:50	--------	d-----w-	c:\programme\Pando Networks

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-07 18:42 . 2004-11-17 00:07	85396	----a-w-	c:\windows\system32\perfc007.dat
2010-06-07 18:42 . 2004-11-17 00:07	460664	----a-w-	c:\windows\system32\perfh007.dat
2010-06-07 18:40 . 2004-11-23 16:20	13440	----a-w-	c:\windows\system32\drivers\USBCRFT.SYS
2010-06-07 15:40 . 2008-10-19 14:16	1	----a-w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-06 16:35 . 2008-01-09 18:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-06-06 16:18 . 2008-09-27 16:52	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Skype
2010-06-06 15:23 . 2008-09-27 16:53	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\skypePM
2010-05-08 15:33 . 2009-07-23 12:51	--------	d-----w-	c:\programme\Warcraft III
2010-05-04 15:56 . 2009-08-12 12:48	149772	----a-w-	c:\windows\War3Unin.dat
2010-04-24 11:39 . 2010-04-10 13:59	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\DeskSoft
2010-04-16 10:09 . 2010-04-16 10:08	--------	d-----w-	c:\programme\iTunes
2010-04-16 10:09 . 2010-04-16 10:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-04-16 10:08 . 2010-04-16 10:08	--------	d-----w-	c:\programme\iPod
2010-04-16 10:05 . 2007-01-05 17:03	--------	d-----w-	c:\programme\QuickTime Alternative
2010-04-16 10:02 . 2010-04-16 10:02	--------	d-----w-	c:\programme\Bonjour
2010-04-16 09:58 . 2010-04-16 09:58	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-12 16:34 . 2004-11-17 00:07	219136	----a-w-	c:\windows\system32\uxtheme.dll
2010-04-12 16:20 . 2010-04-12 16:20	--------	d-----w-	c:\programme\Web
2010-04-12 16:20 . 2010-04-12 16:20	--------	d-----w-	c:\programme\Resources
2010-04-11 18:30 . 2005-03-13 11:36	--------	d-----w-	c:\programme\CDex_150
2010-04-10 14:06 . 2010-04-10 14:06	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Buhl Data Service GmbH
2010-03-21 13:29 . 2010-03-21 13:29	8192	----a-r-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Microsoft\Installer\{E358634B-F124-46FD-8618-C00D0E92B0D3}\IconE358634B.exe
2010-03-10 06:15 . 2004-11-17 00:07	420352	----a-w-	c:\windows\system32\vbscript.dll
2008-02-26 07:43 . 2008-05-13 10:46	1663	----a-w-	c:\programme\file_id.diz
2008-02-26 06:39 . 2008-05-13 10:46	1440147	----a-w-	c:\programme\streamdown.exe
1997-05-13 11:22 . 2005-04-02 18:55	4216	----a-w-	c:\programme\Readme.txt
1997-03-27 13:50 . 2005-04-02 18:55	7107	----a-w-	c:\programme\Faq_uk.txt
2008-04-14 02:22 . 2010-04-12 16:40	60416	--sha-w-	c:\windows\NiwradSoft Shell Pack\Backup\msimn.exe
2006-11-03 08:56 . 2010-04-12 16:40	64000	--sha-w-	c:\windows\NiwradSoft Shell Pack\Backup\wmplayer.exe
.

------- Sigcheck -------

[7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\winlogon.exe
[-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[7] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\NiwradSoft Shell Pack\Backup\comctl32.dll
[-] 2008-04-14 . E30E7D620E14DFBCF647E019C05260B9 . 643072 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2008-04-14 . E30E7D620E14DFBCF647E019C05260B9 . 643072 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2006-08-25 . EE82D1393169AC6BDF6016F4EA8D2B79 . 617472 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll
[-] 2005-03-11 . 7DE34867BB84F2A8DD96FD1B7B78F82E . 925184 . . [6.0] . . c:\windows\SoftwareDistribution\Download\e7d5f3dc50cc78c5a07ca9b24ee13a63\sp1qfe\asms\60\msft\windows\common\controls\comctl32.dll
[-] 2004-12-21 . A7675CF0A180877D8A312B79594FE16B . 921600 . . [6.0] . . c:\windows\SoftwareDistribution\Download\81b207e4d73b88e755fb591f47d88f3a\sp1qfe\asms\60\msft\windows\common\controls\comctl32.dll
[7] 2004-08-04 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\I386\ASMS\6000\MSFT\WINDOWS\COMMON\CONTROLS\COMCTL32.DLL

[7] 2010-02-25 . 2127D9862937DBD40882B9417DEB1837 . 5944832 . . [8.00.6001.18904] . . c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll
[-] 2010-02-25 . A674C7FC19E3CBF50A745F9FD53AF384 . 6106112 . . [8.00.6001.18904] . . c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2010-02-25 . A674C7FC19E3CBF50A745F9FD53AF384 . 6106112 . . [8.00.6001.18904] . . c:\windows\system32\mshtml.dll
[-] 2010-02-25 . A674C7FC19E3CBF50A745F9FD53AF384 . 6106112 . . [8.00.6001.18904] . . c:\windows\system32\dllcache\mshtml.dll
[7] 2010-02-25 . 0A164AB476D7835335220D7A2AE5578B . 5946880 . . [8.00.6001.22995] . . c:\windows\$hf_mig$\KB980182-IE8\SP3QFE\mshtml.dll
[7] 2009-12-21 . A947E6258FB5FBD0E5F58DA9541D7BE3 . 5942784 . . [8.00.6001.18876] . . c:\windows\ie8updates\KB980182-IE8\mshtml.dll
[7] 2009-12-21 . DDAAECF8E188A0E2DB93842A7D193641 . 5945856 . . [8.00.6001.22967] . . c:\windows\$hf_mig$\KB978207-IE8\SP3QFE\mshtml.dll
[7] 2009-10-29 . 686E3FB68E8E41CD6B2970E6D49F1E14 . 5940736 . . [8.00.6001.18854] . . c:\windows\ie8updates\KB978207-IE8\mshtml.dll
[7] 2009-10-29 . 430315D0CAA115EA42EFDF31A93AB5D0 . 5944320 . . [8.00.6001.22945] . . c:\windows\$hf_mig$\KB976325-IE8\SP3QFE\mshtml.dll
[7] 2009-10-22 . 6FFF8D10D0EF5DBE46B7D035FA4119E4 . 5939712 . . [8.00.6001.18852] . . c:\windows\ie8updates\KB976325-IE8\mshtml.dll
[7] 2009-10-22 . EFB718C1CD9DD453DEE529DF4F25DBCA . 5943296 . . [8.00.6001.22942] . . c:\windows\$hf_mig$\KB976749-IE8\SP3QFE\mshtml.dll
[7] 2009-08-29 . 877EC4221F6AF1F51E24110E064CC71E . 5940224 . . [8.00.6001.18828] . . c:\windows\ie8updates\KB976749-IE8\mshtml.dll
[7] 2009-08-29 . D8AEC29BD4F4C5A9D85F3ADE9B7F8C3F . 5942272 . . [8.00.6001.22918] . . c:\windows\$hf_mig$\KB974455-IE8\SP3QFE\mshtml.dll
[7] 2009-07-19 . 5267ECEAC80A826F6FC8F092022140DB . 5937152 . . [8.00.6001.18812] . . c:\windows\ie8updates\KB974455-IE8\mshtml.dll
[7] 2009-07-19 . 165056346E0A00566A442287DAA7575F . 5938176 . . [8.00.6001.22902] . . c:\windows\$hf_mig$\KB972260-IE8\SP3QFE\mshtml.dll
[7] 2009-05-13 . CF58DCA3ED911C4C942B941D4ECF6862 . 5936128 . . [8.00.6001.22873] . . c:\windows\$hf_mig$\KB969897-IE8\SP3QFE\mshtml.dll
[7] 2009-05-13 . C671F2C4655B3EB04A07CF04C961DD2D . 5936128 . . [8.00.6001.18783] . . c:\windows\ie8updates\KB972260-IE8\mshtml.dll
[7] 2009-03-08 . D469A0EBA2EF5C6BEE8065B7E3196E5E . 5937152 . . [8.00.6001.18702] . . c:\windows\ie8updates\KB969897-IE8\mshtml.dll
[7] 2009-01-16 . A76EEDA793C9BFC0C1B8C5F3439D8A39 . 3594752 . . [7.00.6000.16809] . . c:\windows\ie8\mshtml.dll
[7] 2009-01-16 . B44AC6A49DA4A5BAA7AFEA0AA6E5B967 . 3596288 . . [7.00.6000.20996] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\mshtml.dll
[7] 2008-12-13 . 6C8D1CF85533A3792DCDDAAE42DBB161 . 3593216 . . [7.00.6000.16788] . . c:\windows\ie7updates\KB961260-IE7\mshtml.dll
[7] 2008-12-13 . E0825D1BC0F0C2B5CA434F7E9CCF10AE . 3594752 . . [7.00.6000.20973] . . c:\windows\$hf_mig$\KB960714-IE7\SP2QFE\mshtml.dll
[7] 2008-10-17 . AB864B71DF01CC98EAE726DF4BAF73D2 . 3593216 . . [7.00.6000.16762] . . c:\windows\ie7updates\KB960714-IE7\mshtml.dll
[7] 2008-10-16 . C998B6D5E64E11CE8EA8BB22A51CA570 . 3595264 . . [7.00.6000.20935] . . c:\windows\$hf_mig$\KB958215-IE7\SP2QFE\mshtml.dll
[7] 2008-08-27 . 4872C0DA25F551A3E869501833754494 . 3593216 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB958215-IE7\mshtml.dll
[7] 2008-08-26 . 21B2247D24C8A61C12CD3BE8F3C30AC8 . 3594752 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\mshtml.dll
[7] 2008-06-24 . 69AB1CE0E82B8F028EA1DBFD18948DA0 . 3592192 . . [7.00.6000.16705] . . c:\windows\ie7updates\KB956390-IE7\mshtml.dll
[7] 2008-06-23 . 209A03C0EEF909DFCDCBB56C2BBF91CD . 3594240 . . [7.00.6000.20861] . . c:\windows\$hf_mig$\KB953838-IE7\SP2QFE\mshtml.dll
[7] 2008-04-23 . 8C70EFE0C266BDBD654531900A753236 . 3591680 . . [7.00.6000.16674] . . c:\windows\ie7updates\KB953838-IE7\mshtml.dll
[7] 2008-04-23 . 60942CB0B5CADF130FC1795F5FEEE8F5 . 3593728 . . [7.00.6000.20815] . . c:\windows\$hf_mig$\KB950759-IE7\SP2QFE\mshtml.dll
[7] 2008-03-01 . 716D486279235CF9B2C16E3D38B6381D . 3591680 . . [7.00.6000.16640] . . c:\windows\ie7updates\KB950759-IE7\mshtml.dll
[7] 2008-03-01 . 74F01522E75B943EA2BC6C0C20CCEA5F . 3593216 . . [7.00.6000.20772] . . c:\windows\$hf_mig$\KB947864-IE7\SP2QFE\mshtml.dll
[-] 2007-12-08 . 8B9C4948BE88BB7DF9CB4709422F6F9F . 3592192 . . [7.00.6000.16608] . . c:\windows\ie7updates\KB947864-IE7\mshtml.dll
[-] 2007-12-07 . 7A978C65E142C65E349C22E6D7E367E5 . 3593216 . . [7.00.6000.20733] . . c:\windows\$hf_mig$\KB944533-IE7\SP2QFE\mshtml.dll
[-] 2007-10-30 . D7F894D0F9D7662366D1E0EE6800C771 . 3593216 . . [7.00.6000.20710] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\mshtml.dll
[-] 2007-10-30 . 5D9F03E82039EB2BACB33370A707A119 . 3590656 . . [7.00.6000.16587] . . c:\windows\ie7updates\KB944533-IE7\mshtml.dll
[-] 2007-08-20 . CD0B02B5A997750D9A6E56CFA02E9257 . 3584512 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\mshtml.dll
[-] 2007-08-20 . E5D0E8D922C0809469EE5FDE294E9D48 . 3592192 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\mshtml.dll
[-] 2007-07-19 . E8EC18571090C12A013B83BA363364A4 . 3583488 . . [7.00.6000.16525] . . c:\windows\ie7updates\KB939653-IE7\mshtml.dll
[-] 2007-07-18 . B91AB1E55D77740D500BE0C4B2861844 . 3584000 . . [7.00.6000.20641] . . c:\windows\$hf_mig$\KB937143-IE7\SP2QFE\mshtml.dll
[-] 2007-05-08 . 07ABB2A695B8F91F7A12BE2BDD3E5932 . 3584000 . . [7.00.6000.20591] . . c:\windows\$hf_mig$\KB933566-IE7\SP2QFE\mshtml.dll
[-] 2007-05-08 . CD2DFBDD8C553443DE0EC55552A512C4 . 3583488 . . [7.00.6000.16481] . . c:\windows\ie7updates\KB937143-IE7\mshtml.dll
[-] 2007-03-07 . E2F3DEBB0186D233F5354ADDBD12244E . 3581952 . . [7.00.6000.16441] . . c:\windows\ie7updates\KB933566-IE7\mshtml.dll
[-] 2007-03-07 . 6B700997DA907ED2FD871FC75973986F . 3582976 . . [7.00.6000.20544] . . c:\windows\$hf_mig$\KB931768-IE7\SP2QFE\mshtml.dll
[7] 2007-01-12 . 5D45318804A30CE9D6EA83066E84B4A7 . 3580416 . . [7.00.6000.16414] . . c:\windows\ie7updates\KB931768-IE7\mshtml.dll
[7] 2006-10-27 . 7C91F9D79EC63BEA7CCC23F58F2C7182 . 3577856 . . [7.00.5730.11] . . c:\windows\ie7updates\KB928090-IE7\mshtml.dll
[-] 2006-03-23 . 60567BC15560DDED9CA83D5275BA911A . 3076608 . . [6.00.2900.2873] . . c:\windows\$hf_mig$\KB912812\SP2QFE\mshtml.dll
[-] 2005-03-10 . EFE9BA6DB99D649532A75B52A39EF46D . 3010560 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2gdr\mshtml.dll
[-] 2005-03-10 . 243340D137D0B54CC5B440D7E4880B63 . 3011072 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2qfe\mshtml.dll
[-] 2005-01-27 . 28A254F37138CB3E6478E131B91314A3 . 3006976 . . [6.00.2900.2604] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2gdr\mshtml.dll
[-] 2005-01-27 . 19F79F718CABBFC3DAD25D7914D5601B . 3008000 . . [6.00.2900.2604] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2qfe\mshtml.dll

[7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\user32.dll
[-] 2008-04-14 . C268AE6C540CC43F2264C8CB7A9A4243 . 580096 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . C268AE6C540CC43F2264C8CB7A9A4243 . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2007-03-08 . 78785EFF8CB90CEC1862A4CCFD9A3C3A . 579584 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 492E166CFD26A50FB9160DB536FF7D2B . 579072 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\SoftwareDistribution\Download\6f667da50bb6ed52a71fae1f7f60833d\sp2qfe\user32.dll
[-] 2005-03-02 . 3751D7CF0E0A113D84414992146BCE6A . 578560 . . [5.1.2600.2622] . . c:\windows\SoftwareDistribution\Download\6f667da50bb6ed52a71fae1f7f60833d\sp2gdr\user32.dll

[7] 2010-02-25 . 7857131DA01250E02BEE64F1163F6159 . 916480 . . [8.00.6001.18904] . . c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll
[-] 2010-02-25 . 0F8D6287627427C3D866EBB6421353D3 . 983040 . . [8.00.6001.18904] . . c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2010-02-25 . 0F8D6287627427C3D866EBB6421353D3 . 983040 . . [8.00.6001.18904] . . c:\windows\system32\wininet.dll
[-] 2010-02-25 . 0F8D6287627427C3D866EBB6421353D3 . 983040 . . [8.00.6001.18904] . . c:\windows\system32\dllcache\wininet.dll
[7] 2010-02-25 . 3C41EB3A0EC8E2606B6C906993E11C29 . 919040 . . [8.00.6001.22995] . . c:\windows\$hf_mig$\KB980182-IE8\SP3QFE\wininet.dll
[7] 2009-12-21 . F2A70583964128530B7E86B1A13023A7 . 916480 . . [8.00.6001.18876] . . c:\windows\ie8updates\KB980182-IE8\wininet.dll
[7] 2009-12-21 . 5E3A3EB3BC5849BE4D5FE2B5F1869783 . 916480 . . [8.00.6001.22967] . . c:\windows\$hf_mig$\KB978207-IE8\SP3QFE\wininet.dll
[7] 2009-10-29 . 3426FBE495D1825D5C09C84D1E9361C1 . 916480 . . [8.00.6001.18854] . . c:\windows\ie8updates\KB978207-IE8\wininet.dll
[7] 2009-10-29 . 0A4248E124C88EDD1E0A93AE93E4DB6A . 916480 . . [8.00.6001.22945] . . c:\windows\$hf_mig$\KB976325-IE8\SP3QFE\wininet.dll
[7] 2009-08-29 . 6B985F8E8ACE6A6424BE04A90C1E652A . 916480 . . [8.00.6001.18828] . . c:\windows\ie8updates\KB976325-IE8\wininet.dll
[7] 2009-08-29 . 11DA6B380B94BAABCFD0854526AFC602 . 916480 . . [8.00.6001.22918] . . c:\windows\$hf_mig$\KB974455-IE8\SP3QFE\wininet.dll
[7] 2009-07-03 . 3B6D4582FADA3948593C56F96964FEFA . 915456 . . [8.00.6001.22896] . . c:\windows\$hf_mig$\KB972260-IE8\SP3QFE\wininet.dll
[7] 2009-07-03 . 6E3E0C6060EFC8B855DFCBC7AE18B377 . 915456 . . [8.00.6001.18806] . . c:\windows\ie8updates\KB974455-IE8\wininet.dll
[7] 2009-05-13 . 13521D5B5A6F1A47459909D32409A369 . 915456 . . [8.00.6001.22873] . . c:\windows\$hf_mig$\KB969897-IE8\SP3QFE\wininet.dll
[7] 2009-05-13 . F85681C65CA3CD5D4B0E4CE88FDF6685 . 915456 . . [8.00.6001.18783] . . c:\windows\ie8updates\KB972260-IE8\wininet.dll
[7] 2009-03-08 . 6CE32F7778061CCC5814D5E0F282D369 . 914944 . . [8.00.6001.18702] . . c:\windows\ie8updates\KB969897-IE8\wininet.dll
[7] 2008-12-20 . 2B5AE9ACD86E1B8B86D62E153DE130AB . 827904 . . [7.00.6000.20978] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\wininet.dll
[7] 2008-12-20 . C3D4047626F8CC8EC7DD7558FA5CC2E2 . 826368 . . [7.00.6000.16791] . . c:\windows\ie8\wininet.dll
[7] 2008-10-16 . CBAAEBDFC6F9291D2D31E36FE1AD19AC . 826368 . . [7.00.6000.16762] . . c:\windows\ie7updates\KB961260-IE7\wininet.dll
[7] 2008-10-16 . 5A1F997EC096EF26F3A3880347F5F9D8 . 827904 . . [7.00.6000.20935] . . c:\windows\$hf_mig$\KB958215-IE7\SP2QFE\wininet.dll
[7] 2008-08-26 . E1F83BCC84D6223965D35AB06B63BBEB . 827904 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
[7] 2008-08-26 . B905F284F45675F3019413DFF055C666 . 826368 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB958215-IE7\wininet.dll
[7] 2008-06-23 . 7B28D5C8C5C075037F864256E4044B83 . 826368 . . [7.00.6000.16705] . . c:\windows\ie7updates\KB956390-IE7\wininet.dll
[7] 2008-06-23 . 4F08E6D8C9DDA8ED4346A1857849ADB3 . 827904 . . [7.00.6000.20861] . . c:\windows\$hf_mig$\KB953838-IE7\SP2QFE\wininet.dll
[7] 2008-04-23 . 751EFBEC900CC4E4B41DB6E522B67D41 . 827392 . . [7.00.6000.20815] . . c:\windows\$hf_mig$\KB950759-IE7\SP2QFE\wininet.dll
[7] 2008-04-23 . A5795741E53F72C4A2736BC51007A5D5 . 826368 . . [7.00.6000.16674] . . c:\windows\ie7updates\KB953838-IE7\wininet.dll
[7] 2008-03-01 . 32FC70AC1EFFE28DB72FDF1DCC319E72 . 826368 . . [7.00.6000.16640] . . c:\windows\ie7updates\KB950759-IE7\wininet.dll
[7] 2008-03-01 . A7B7383EC19F0C5EBD02CB7826C8488B . 827392 . . [7.00.6000.20772] . . c:\windows\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll
[-] 2007-12-07 . BA4D7D3098E2BA8AEA34A19BBECF9962 . 824832 . . [7.00.6000.16608] . . c:\windows\ie7updates\KB947864-IE7\wininet.dll
[-] 2007-12-07 . 16EF6865A405134CE64A3AA6CEF6C69F . 825344 . . [7.00.6000.20733] . . c:\windows\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
[-] 2007-10-10 . FA5FA22E6F36F8453E9377810B3F9939 . 824832 . . [7.00.6000.16574] . . c:\windows\ie7updates\KB944533-IE7\wininet.dll
[-] 2007-10-10 . 6A1AEF7B9E513ACB566B16B0BA133C7C . 825344 . . [7.00.6000.20696] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
[-] 2007-08-20 . CAFC9797228843012CED767D24D8DCFC . 824832 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\wininet.dll
[-] 2007-08-20 . 283D85F8192FA54F2CA978B659965739 . 825344 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
[-] 2007-06-27 . 17D39B59E2E3740058AE3FBCD432CEDE . 824320 . . [7.00.6000.20627] . . c:\windows\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
[-] 2007-06-27 . 0D58CEBD30684B481C8DF3DA69375410 . 823808 . . [7.00.6000.16512] . . c:\windows\ie7updates\KB939653-IE7\wininet.dll
[-] 2007-04-25 . 26DB81279FED58D5199235C26D4836E2 . 823808 . . [7.00.6000.20583] . . c:\windows\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll
[-] 2007-04-25 . 4E9436B0301B0451ED2FB29364AB090F . 822784 . . [7.00.6000.16473] . . c:\windows\ie7updates\KB937143-IE7\wininet.dll
[-] 2007-03-07 . C601BD2849927D44F8549F720CFA14D3 . 822784 . . [7.00.6000.16441] . . c:\windows\ie7updates\KB933566-IE7\wininet.dll
[-] 2007-03-07 . 4EF1AE9A4D801AB63EC752478247BFCE . 823296 . . [7.00.6000.20544] . . c:\windows\$hf_mig$\KB931768-IE7\SP2QFE\wininet.dll
[7] 2007-01-12 . BE43D00D802C92F01C8CC952C6F483F8 . 822784 . . [7.00.6000.16414] . . c:\windows\ie7updates\KB931768-IE7\wininet.dll
[7] 2006-10-27 . 7CF0B0D5D9D47585853E2A6978441F64 . 818688 . . [7.00.5730.11] . . c:\windows\ie7updates\KB928090-IE7\wininet.dll
[-] 2006-03-04 . C91B7839095133064F9C898897F8D64C . 669184 . . [6.00.2900.2861] . . c:\windows\$hf_mig$\KB912812\SP2QFE\wininet.dll
[-] 2005-03-10 . 0E2E035170CB6C3E0AD629C45BF3F71B . 662528 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2gdr\wininet.dll
[-] 2005-03-10 . 235D1D42C2D23FA1BC8A9EDB267FFE86 . 663552 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2qfe\wininet.dll
[-] 2005-01-27 . 5CABB0E97C9A19B2165DD189B04BD006 . 662528 . . [6.00.2900.2577] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2gdr\wininet.dll
[-] 2005-01-27 . D9460271895ADBB382769AF1FC701169 . 663552 . . [6.00.2900.2598] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2qfe\wininet.dll

[-] 2008-04-14 . C4F91B363B29E589E84E6D9D41A92952 . 1544192 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\explorer.exe
[-] 2008-04-14 . C4F91B363B29E589E84E6D9D41A92952 . 1544192 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . 64D320C0E301EEDC5A4ADBBDC5024F7F . 1036288 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[7] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe
[-] 2008-04-14 . 6BB3F4E4B01913F1764CC137E841B520 . 40448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-14 . 6BB3F4E4B01913F1764CC137E841B520 . 40448 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" [2004-09-03 2596864]
"Dit"="Dit.exe" [2004-04-02 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 40448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"DontSetAutoplayCheckbox"= 1 (0x1)
"NoAutorun"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)
"DontSetAutoplayCheckbox"= 1 (0x1)
"NoAutorun"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Exif Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Exif Launcher.lnk
backup=c:\windows\pss\Exif Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2008-11-20 08:06	178688	----a-w-	c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2006-10-12 14:57	102400	------w-	c:\programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\programme\QuickTime Alternative\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
2005-06-27 13:32	278528	----a-w-	c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"REGSHAVE"=c:\programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\League of Legends\\Air\\LolClient.exe"=
"c:\\Programme\\League of Legends\\Game\\League of Legends.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"56608:TCP"= 56608:TCP:Pando Media Booster
"56608:UDP"= 56608:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6975:TCP"= 6975:TCP:League of Legends Launcher
"6975:UDP"= 6975:UDP:League of Legends Launcher
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"4054:TCP"= 4054:TCP:Services
"6608:TCP"= 6608:TCP:Services
"1555:TCP"= 1555:TCP:Services
"1610:TCP"= 1610:TCP:Services
"2743:TCP"= 2743:TCP:Services
"3986:TCP"= 3986:TCP:Services
"4821:TCP"= 4821:TCP:Services
"8142:TCP"= 8142:TCP:Services
"5962:TCP"= 5962:TCP:Services
"5963:TCP"= 5963:TCP:Services

R0 SI3112r;ATI-4379 Serial ATA Controller;c:\windows\system32\drivers\SI3112r.sys [27.08.2004 16:18 102400]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [03.05.2005 20:35 10240]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [19.03.2005 11:29 81408]
R1 vbev5mp;vbev5mp;c:\windows\system32\drivers\VBEV5MP.sys [12.11.2003 09:26 56064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.09.2009 19:59 135336]
R3 uscsc108;uscsc108;c:\windows\system32\drivers\uscsc108.sys [09.03.2003 18:41 102336]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.11.2004 18:20 13440]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys --> c:\windows\system32\Drivers\dsltestSp5.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [21.04.2007 14:05 1527900]
S3 GT680xNT;USB Scanner Driver;c:\windows\system32\drivers\gt680x.sys --> c:\windows\system32\drivers\gt680x.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\SophosMEMSWEEP.SYS --> c:\windows\system32\SophosMEMSWEEP.SYS [?]
S3 MRVW225;USB54M Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [26.10.2007 19:25 299776]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [21.04.2007 14:04 544768]
S4 cdawdm;CDAWDM;c:\windows\system32\DRIVERS\CDAWDM.sys --> c:\windows\system32\DRIVERS\CDAWDM.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - avprnzsn
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://bit.ly/bxFzgb
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\yl2znjtz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\programme\Opera\program\plugins\npqtplugin8.dll
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin5.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
.
------- Dateityp-Verknüpfung -------
.
txtfile=NotePad.exe "%1" %*
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{61087B51-9D74-41EE-B2AB-D98230F31E04} - c:\windows\system32\nznnhkyb.dll
BHO-{63F0E34A-07CF-4227-A5DF-24D229523E9E} - c:\windows\system32\uppqhbrc.dll
BHO-{7DD4D996-53B1-CF0C-FA20-54909989A7B2} - (no file)
AddRemove-pcsperzogd - c:\windows\system32\pcsperzogd.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-07 20:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86B17880]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebf28
\Driver\ACPI -> ACPI.sys @ 0xf743dcb8
\Driver\atapi -> 0x86b17880
IoDeviceObjectType -> ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
\Device\Harddisk0\DR0 -> ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
NDIS: VIA Rhine III Fast Ethernet Adapter -> SendCompleteHandler -> 0x8631b440
 PacketIndicateHandler -> NDIS.sys @ 0xf71a5a21
 SendHandler -> NDIS.sys @ 0xf718387b
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1 
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avprnzsn]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(932)
c:\windows\system32\wdigest.dll
c:\windows\system32\setupapi.dll
c:\windows\system32\psbase.dll

- - - - - - - > 'explorer.exe'(2832)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\LINKINFO.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\HHVcdV5Sys\VC5SecS.exe
c:\windows\Dit.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-07  20:47:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-07 18:47

Vor Suchlauf: 30 Verzeichnis(se), 37.338.009.600 Bytes frei
Nach Suchlauf: 32 Verzeichnis(se), 37.252.587.520 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=AlwaysOff Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 2B5658F4095080532C2563EC3C419E92

--- --- ---

Larusso · 07.06.2010, 20:04

Na willkommen Mebroot -.-

Was spricht gegen ein Formatieren ?

(Anleitung by myrtille)

Schritt 1

Lade Dir bitte folgendes Programm runter und führe es aus: profiles.exe
Es erstellt eine Textdatei, bitte kopiere den Inhalt in deine nächste Antwort.

Schritt 2

Bitte führe auch folgendes aus:
Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

@echo off
net user >log.txt
net user helpassistant >>log.txt
log.txt

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat.

Es sollte sich eine Textdatei öffnen, bitte kopiere auch den Inhalt dieser Datei in deine nächste Antwort.

blabla · 07.06.2010, 20:09

hier numer 1

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
DefaultUserProfile REG_SZ Default User
AllUsersProfile REG_SZ All Users

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-18
ProfileImagePath REG_EXPAND_SZ %systemroot%\system32\config\systemprofile

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\LocalService

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-20
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\NetworkService

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1115070007-3674046497-395584582-1006
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\Utily

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1115070007-3674046497-395584582-1008
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\Jonas

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1115070007-3674046497-395584582-1012
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\Jonas nur Spiele

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1115070007-3674046497-395584582-1015
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\Sunny Net

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1115070007-3674046497-395584582-1018
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\HelpAssistant.SCHATZI

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1115070007-3674046497-395584582-500
ProfileImagePath REG_EXPAND_SZ %SystemDrive%\Dokumente und Einstellungen\Administrator.SCHATZI

SystemRoot REG_SZ C:\WINDOWS

hier die nummer 2

Zitat:

Benutzerkonten fr \\SCHATZI

-------------------------------------------------------------------------------
Administrator ASPNET Gast
HelpAssistant Hilfeassistent Jonas
Jonas nur Spiele SUPPORT_388945a0 Utily
Der Befehl wurde erfolgreich ausgefhrt.

Benutzername HelpAssistant
Vollst„ndiger Name HelpAssistant
Beschreibung
Benutzerbeschreibung
L„ndereinstellung 000 (Standardsystemvorgabe)
Konto aktiv Ja
Konto abgelaufen Nie

Letztes Setzen des Kennworts 6/7/2010 8:41 PM
Kennwort l„uft ab Nie
Kennwort „nderbar 6/7/2010 8:41 PM
Kennwort erforderlich Ja
Benutzer kann Kennwort „ndern Ja

Erlaubte Arbeitsstationen Alle
Anmeldeskript
Benutzerprofil
Basisverzeichnis
Letzte Anmeldung 6/7/2010 8:41 PM

Erlaubte Anmeldezeiten Alle

Lokale Gruppenmitgliedschaften *Administratoren
Globale Gruppenmitgliedschaften *Kein
Der Befehl wurde erfolgreich ausgefhrt.

wie meintest du das mit dem formatieren?
alles?
ich brauch die daten

weiß nich ob ich heute noch mehr schaffe...

Larusso · 07.06.2010, 20:23

du hast dir die neueste Variante von Mebroot/Sinowal eingefangen. Als erstes möchte ich daher sagen, dass es sich dabei um einen Backdoor trojaner handelt, sprich andere konnten auf deinen Rechner zugreifen, deine Passwörter auslesen und Einstellungen verändern.

Der Befall ist ein Rootkit und versteckt sich im Master Boot Record, nur sehr wenige Programme, in der Regel spezialisierte Programme, können diesen Befall derzeit sehen.

Das sicherste ist in solchen Fällen immer neuaufzusetzen, wir können dir aber helfen die Überreste des Befalls zu entfernen, wenn du nicht Neuaufsetzen willst.

Falls du Bereinigen dem Neuaufsetzen vorziehst, würde ich gerne Folgendes versuchen:

Downloade HelpAsst_mebroot_fix.exe und speichere das Tool auf Deinem Desktop.
Schließe alle Programme und Fenster.
Doppelklicke das Tool und folge den Anweisungen.
Sollte das Tool noch eine MBR-Infektion finden, erlaube mbr -f laufen zu lassen und den Computer neu zu starten.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.

Wenn das Tool während des ersten Laufs keine MBR-Infektion gemeldet hat:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

mbr -f

Starte den Computer neu.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.

blabla · 08.06.2010, 15:22

das kam raus

Zitat:

C:\Dokumente und Einstellungen\Jonas nur Spiele\Desktop\HelpAsst_mebroot_fix.exe
08.06.2010 at 15:50:00,73

HelpAssistant account was found ~ attempting to remove

Konto aktiv Ja
Lokale Gruppenmitgliedschaften *Administratoren

HelpAssistant account successfully removed

~~ Checking for termsrv32.dll ~~

termsrv32.dll present! ~ attempting to remove
termsrv32.dll successfully removed

~~ Checking firewall ports ~~

backing up DomainProfile\GloballyOpenPorts\List registry key
closing rogue ports

HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\globallyopenports\list
"65533:TCP"=-
"52344:TCP"=-
"8518:TCP"=-
"5009:TCP"=-
"3389:TCP"=-

backing up StandardProfile\GloballyOpenPorts\List registry key
closing rogue ports

HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\globallyopenports\list
"65533:TCP"=-
"52344:TCP"=-
"8518:TCP"=-
"5009:TCP"=-
"3389:TCP"=-

~~ Checking profile list ~~

HelpAssistant profile found in registry ~ backing up and removing S-1-5-21-1115070007-3674046497-395584582-1019
HelpAssistant profile directory exists at C:\Dokumente und Einstellungen\HelpAssistant.SCHATZI.000 ~ attempting to remove
~ All C:\Dokumente und Einstellungen\HelpAssistant.SCHATZI.000 files successfully removed ~

~~ Checking mbr ~~

mbr infection detected! ~ running mbr -f

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86b16b58
NDIS: VIA Rhine III Fast Ethernet Adapter -> SendCompleteHandler -> 0x8631b440
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86b16b58
NDIS: VIA Rhine III Fast Ethernet Adapter -> SendCompleteHandler -> 0x8631b440
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
Use "Recovery Console" command "fixmbr" to clear infection !

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Status check on 08.06.2010 at 16:23:51,14

No HelpAssistant account in User list

~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86B68328]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86b68328
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
Use "Recovery Console" command "fixmbr" to clear infection !

~~ Checking for termsrv32.dll ~~

termsrv32.dll not found

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters
ServiceDll REG_EXPAND_SZ %systemroot%\System32\termsrv.dll

~~ Checking profile list ~~

No HelpAssistant profile in registry

~~ Checking for HelpAssistant directories ~~

HelpAssistant
HelpAssistant.SCHATZI

~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

~~ EOF ~~

könnte dieser Virus über unser Heimnetzwerk auf einen anderen Pc (beide am gleichen Modem) zugreifen?

Larusso · 08.06.2010, 15:35

Zu deiner Frage, Ja könnte er

Schritt 1

Starte den PC bitte neu auf. Im BootMenu solltest Du nun neben deinem Betriebssystem den Eintrag Wiederherstellungskonsole finden. Wähle diesen mit Hilfe der Pfeiltasten aus und bestätige mit Enter.

Nun sollte sich ein schwarzes Fenster öffnen wo folgendes zu sehen ist
C:\windows:>

Hier bitte fixmbr eingeben und Enter drücken. Mit Exit wird die RC geschlossen und der PC neu gestartet.

Solltest Du eine Warnmeldung bekommen, fahre mit Schritt 2 nicht fort

Schritt 2

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Schritt 3

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
ComboFix.txt
OTL.txt

blabla · 08.06.2010, 16:33

hier schonmal combofix
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-06-07.04 - Jonas nur Spiele 08.06.2010  17:25:41.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.623 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Jonas nur Spiele\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-05-08 bis 2010-06-08  ))))))))))))))))))))))))))))))
.

2010-06-07 20:04 . 2010-06-08 13:50	--------	d-----w-	C:\HelpAsst_backup
2010-06-07 18:36 . 2008-04-14 02:22	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-06-07 16:30 . 2010-06-07 16:30	--------	d-----w-	C:\_OTL
2010-06-06 16:26 . 2010-06-06 16:26	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Uniblue
2010-06-04 13:48 . 2010-06-04 13:48	--------	d-----w-	c:\programme\Trend Micro
2010-06-02 17:20 . 2004-11-23 16:49	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.SCHATZI\UserData
2010-06-02 17:20 . 2004-11-17 00:33	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.SCHATZI\Vorlagen
2010-06-02 17:20 . 2010-06-07 18:41	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.SCHATZI
2010-06-02 15:53 . 2004-11-23 16:49	--------	d-s---w-	c:\dokumente und einstellungen\HelpAssistant\UserData
2010-06-02 15:53 . 2004-11-17 00:33	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2010-06-02 15:53 . 2004-11-17 00:30	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant\Netzwerkumgebung
2010-06-02 15:53 . 2004-11-17 00:30	--------	d-----r-	c:\dokumente und einstellungen\HelpAssistant\Startmenü
2010-06-02 15:53 . 2010-06-07 18:36	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant
2010-06-02 14:01 . 2010-06-02 14:01	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-02 13:54 . 2010-06-02 13:54	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Sky-Banners
2010-06-02 13:54 . 2010-06-02 13:54	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Street-Ads
2010-06-02 13:54 . 2010-06-04 13:41	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Lokale Einstellungen\Anwendungsdaten\tpyqislla
2010-06-02 13:53 . 2010-06-08 15:32	823808	----a-w-	c:\windows\system32\drivers\avprnzsn.sys
2010-06-02 13:52 . 2010-06-02 13:52	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-06-02 13:52 . 2010-06-02 13:52	--------	d-----w-	c:\programme\$NtUninstallWTF1012$
2010-05-31 14:06 . 2010-06-02 12:57	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Lokale Einstellungen\Anwendungsdaten\TeamSpeak 3 Client
2010-05-26 14:38 . 2010-05-26 14:38	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\LolClient
2010-05-25 18:41 . 2010-06-07 19:00	--------	d-----w-	c:\programme\League of Legends
2010-05-25 17:51 . 2010-05-25 19:52	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Lokale Einstellungen\Anwendungsdaten\PMB Files
2010-05-25 17:50 . 2010-05-25 17:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PMB Files
2010-05-25 17:50 . 2010-05-25 17:50	--------	d-----w-	c:\programme\Pando Networks

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-08 15:16 . 2004-11-23 16:20	13440	----a-w-	c:\windows\system32\drivers\USBCRFT.SYS
2010-06-07 18:42 . 2004-11-17 00:07	85396	----a-w-	c:\windows\system32\perfc007.dat
2010-06-07 18:42 . 2004-11-17 00:07	460664	----a-w-	c:\windows\system32\perfh007.dat
2010-06-07 15:40 . 2008-10-19 14:16	1	----a-w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-06 16:35 . 2008-01-09 18:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-06-06 16:18 . 2008-09-27 16:52	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Skype
2010-06-06 15:23 . 2008-09-27 16:53	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\skypePM
2010-05-08 15:33 . 2009-07-23 12:51	--------	d-----w-	c:\programme\Warcraft III
2010-05-04 15:56 . 2009-08-12 12:48	149772	----a-w-	c:\windows\War3Unin.dat
2010-04-24 11:39 . 2010-04-10 13:59	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\DeskSoft
2010-04-16 10:09 . 2010-04-16 10:08	--------	d-----w-	c:\programme\iTunes
2010-04-16 10:09 . 2010-04-16 10:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-04-16 10:08 . 2010-04-16 10:08	--------	d-----w-	c:\programme\iPod
2010-04-16 10:05 . 2007-01-05 17:03	--------	d-----w-	c:\programme\QuickTime Alternative
2010-04-16 10:02 . 2010-04-16 10:02	--------	d-----w-	c:\programme\Bonjour
2010-04-16 09:58 . 2010-04-16 09:58	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-12 16:34 . 2004-11-17 00:07	219136	----a-w-	c:\windows\system32\uxtheme.dll
2010-04-12 16:20 . 2010-04-12 16:20	--------	d-----w-	c:\programme\Web
2010-04-12 16:20 . 2010-04-12 16:20	--------	d-----w-	c:\programme\Resources
2010-04-11 18:30 . 2005-03-13 11:36	--------	d-----w-	c:\programme\CDex_150
2010-04-10 14:06 . 2010-04-10 14:06	--------	d-----w-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Buhl Data Service GmbH
2010-03-21 13:29 . 2010-03-21 13:29	8192	----a-r-	c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Microsoft\Installer\{E358634B-F124-46FD-8618-C00D0E92B0D3}\IconE358634B.exe
2008-02-26 07:43 . 2008-05-13 10:46	1663	----a-w-	c:\programme\file_id.diz
2008-02-26 06:39 . 2008-05-13 10:46	1440147	----a-w-	c:\programme\streamdown.exe
1997-05-13 11:22 . 2005-04-02 18:55	4216	----a-w-	c:\programme\Readme.txt
1997-03-27 13:50 . 2005-04-02 18:55	7107	----a-w-	c:\programme\Faq_uk.txt
2008-04-14 02:22 . 2010-04-12 16:40	60416	--sha-w-	c:\windows\NiwradSoft Shell Pack\Backup\msimn.exe
2006-11-03 08:56 . 2010-04-12 16:40	64000	--sha-w-	c:\windows\NiwradSoft Shell Pack\Backup\wmplayer.exe
.

------- Sigcheck -------

[7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\winlogon.exe
[-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[7] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\NiwradSoft Shell Pack\Backup\comctl32.dll
[-] 2008-04-14 . E30E7D620E14DFBCF647E019C05260B9 . 643072 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2008-04-14 . E30E7D620E14DFBCF647E019C05260B9 . 643072 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2006-08-25 . EE82D1393169AC6BDF6016F4EA8D2B79 . 617472 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll
[-] 2005-03-11 . 7DE34867BB84F2A8DD96FD1B7B78F82E . 925184 . . [6.0] . . c:\windows\SoftwareDistribution\Download\e7d5f3dc50cc78c5a07ca9b24ee13a63\sp1qfe\asms\60\msft\windows\common\controls\comctl32.dll
[-] 2004-12-21 . A7675CF0A180877D8A312B79594FE16B . 921600 . . [6.0] . . c:\windows\SoftwareDistribution\Download\81b207e4d73b88e755fb591f47d88f3a\sp1qfe\asms\60\msft\windows\common\controls\comctl32.dll
[7] 2004-08-04 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\I386\ASMS\6000\MSFT\WINDOWS\COMMON\CONTROLS\COMCTL32.DLL

[7] 2010-02-25 . 2127D9862937DBD40882B9417DEB1837 . 5944832 . . [8.00.6001.18904] . . c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll
[-] 2010-02-25 . A674C7FC19E3CBF50A745F9FD53AF384 . 6106112 . . [8.00.6001.18904] . . c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2010-02-25 . A674C7FC19E3CBF50A745F9FD53AF384 . 6106112 . . [8.00.6001.18904] . . c:\windows\system32\mshtml.dll
[-] 2010-02-25 . A674C7FC19E3CBF50A745F9FD53AF384 . 6106112 . . [8.00.6001.18904] . . c:\windows\system32\dllcache\mshtml.dll
[7] 2010-02-25 . 0A164AB476D7835335220D7A2AE5578B . 5946880 . . [8.00.6001.22995] . . c:\windows\$hf_mig$\KB980182-IE8\SP3QFE\mshtml.dll
[7] 2009-12-21 . A947E6258FB5FBD0E5F58DA9541D7BE3 . 5942784 . . [8.00.6001.18876] . . c:\windows\ie8updates\KB980182-IE8\mshtml.dll
[7] 2009-12-21 . DDAAECF8E188A0E2DB93842A7D193641 . 5945856 . . [8.00.6001.22967] . . c:\windows\$hf_mig$\KB978207-IE8\SP3QFE\mshtml.dll
[7] 2009-10-29 . 686E3FB68E8E41CD6B2970E6D49F1E14 . 5940736 . . [8.00.6001.18854] . . c:\windows\ie8updates\KB978207-IE8\mshtml.dll
[7] 2009-10-29 . 430315D0CAA115EA42EFDF31A93AB5D0 . 5944320 . . [8.00.6001.22945] . . c:\windows\$hf_mig$\KB976325-IE8\SP3QFE\mshtml.dll
[7] 2009-10-22 . 6FFF8D10D0EF5DBE46B7D035FA4119E4 . 5939712 . . [8.00.6001.18852] . . c:\windows\ie8updates\KB976325-IE8\mshtml.dll
[7] 2009-10-22 . EFB718C1CD9DD453DEE529DF4F25DBCA . 5943296 . . [8.00.6001.22942] . . c:\windows\$hf_mig$\KB976749-IE8\SP3QFE\mshtml.dll
[7] 2009-08-29 . 877EC4221F6AF1F51E24110E064CC71E . 5940224 . . [8.00.6001.18828] . . c:\windows\ie8updates\KB976749-IE8\mshtml.dll
[7] 2009-08-29 . D8AEC29BD4F4C5A9D85F3ADE9B7F8C3F . 5942272 . . [8.00.6001.22918] . . c:\windows\$hf_mig$\KB974455-IE8\SP3QFE\mshtml.dll
[7] 2009-07-19 . 5267ECEAC80A826F6FC8F092022140DB . 5937152 . . [8.00.6001.18812] . . c:\windows\ie8updates\KB974455-IE8\mshtml.dll
[7] 2009-07-19 . 165056346E0A00566A442287DAA7575F . 5938176 . . [8.00.6001.22902] . . c:\windows\$hf_mig$\KB972260-IE8\SP3QFE\mshtml.dll
[7] 2009-05-13 . CF58DCA3ED911C4C942B941D4ECF6862 . 5936128 . . [8.00.6001.22873] . . c:\windows\$hf_mig$\KB969897-IE8\SP3QFE\mshtml.dll
[7] 2009-05-13 . C671F2C4655B3EB04A07CF04C961DD2D . 5936128 . . [8.00.6001.18783] . . c:\windows\ie8updates\KB972260-IE8\mshtml.dll
[7] 2009-03-08 . D469A0EBA2EF5C6BEE8065B7E3196E5E . 5937152 . . [8.00.6001.18702] . . c:\windows\ie8updates\KB969897-IE8\mshtml.dll
[7] 2009-01-16 . A76EEDA793C9BFC0C1B8C5F3439D8A39 . 3594752 . . [7.00.6000.16809] . . c:\windows\ie8\mshtml.dll
[7] 2009-01-16 . B44AC6A49DA4A5BAA7AFEA0AA6E5B967 . 3596288 . . [7.00.6000.20996] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\mshtml.dll
[7] 2008-12-13 . 6C8D1CF85533A3792DCDDAAE42DBB161 . 3593216 . . [7.00.6000.16788] . . c:\windows\ie7updates\KB961260-IE7\mshtml.dll
[7] 2008-12-13 . E0825D1BC0F0C2B5CA434F7E9CCF10AE . 3594752 . . [7.00.6000.20973] . . c:\windows\$hf_mig$\KB960714-IE7\SP2QFE\mshtml.dll
[7] 2008-10-17 . AB864B71DF01CC98EAE726DF4BAF73D2 . 3593216 . . [7.00.6000.16762] . . c:\windows\ie7updates\KB960714-IE7\mshtml.dll
[7] 2008-10-16 . C998B6D5E64E11CE8EA8BB22A51CA570 . 3595264 . . [7.00.6000.20935] . . c:\windows\$hf_mig$\KB958215-IE7\SP2QFE\mshtml.dll
[7] 2008-08-27 . 4872C0DA25F551A3E869501833754494 . 3593216 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB958215-IE7\mshtml.dll
[7] 2008-08-26 . 21B2247D24C8A61C12CD3BE8F3C30AC8 . 3594752 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\mshtml.dll
[7] 2008-06-24 . 69AB1CE0E82B8F028EA1DBFD18948DA0 . 3592192 . . [7.00.6000.16705] . . c:\windows\ie7updates\KB956390-IE7\mshtml.dll
[7] 2008-06-23 . 209A03C0EEF909DFCDCBB56C2BBF91CD . 3594240 . . [7.00.6000.20861] . . c:\windows\$hf_mig$\KB953838-IE7\SP2QFE\mshtml.dll
[7] 2008-04-23 . 8C70EFE0C266BDBD654531900A753236 . 3591680 . . [7.00.6000.16674] . . c:\windows\ie7updates\KB953838-IE7\mshtml.dll
[7] 2008-04-23 . 60942CB0B5CADF130FC1795F5FEEE8F5 . 3593728 . . [7.00.6000.20815] . . c:\windows\$hf_mig$\KB950759-IE7\SP2QFE\mshtml.dll
[7] 2008-03-01 . 716D486279235CF9B2C16E3D38B6381D . 3591680 . . [7.00.6000.16640] . . c:\windows\ie7updates\KB950759-IE7\mshtml.dll
[7] 2008-03-01 . 74F01522E75B943EA2BC6C0C20CCEA5F . 3593216 . . [7.00.6000.20772] . . c:\windows\$hf_mig$\KB947864-IE7\SP2QFE\mshtml.dll
[-] 2007-12-08 . 8B9C4948BE88BB7DF9CB4709422F6F9F . 3592192 . . [7.00.6000.16608] . . c:\windows\ie7updates\KB947864-IE7\mshtml.dll
[-] 2007-12-07 . 7A978C65E142C65E349C22E6D7E367E5 . 3593216 . . [7.00.6000.20733] . . c:\windows\$hf_mig$\KB944533-IE7\SP2QFE\mshtml.dll
[-] 2007-10-30 . D7F894D0F9D7662366D1E0EE6800C771 . 3593216 . . [7.00.6000.20710] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\mshtml.dll
[-] 2007-10-30 . 5D9F03E82039EB2BACB33370A707A119 . 3590656 . . [7.00.6000.16587] . . c:\windows\ie7updates\KB944533-IE7\mshtml.dll
[-] 2007-08-20 . CD0B02B5A997750D9A6E56CFA02E9257 . 3584512 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\mshtml.dll
[-] 2007-08-20 . E5D0E8D922C0809469EE5FDE294E9D48 . 3592192 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\mshtml.dll
[-] 2007-07-19 . E8EC18571090C12A013B83BA363364A4 . 3583488 . . [7.00.6000.16525] . . c:\windows\ie7updates\KB939653-IE7\mshtml.dll
[-] 2007-07-18 . B91AB1E55D77740D500BE0C4B2861844 . 3584000 . . [7.00.6000.20641] . . c:\windows\$hf_mig$\KB937143-IE7\SP2QFE\mshtml.dll
[-] 2007-05-08 . 07ABB2A695B8F91F7A12BE2BDD3E5932 . 3584000 . . [7.00.6000.20591] . . c:\windows\$hf_mig$\KB933566-IE7\SP2QFE\mshtml.dll
[-] 2007-05-08 . CD2DFBDD8C553443DE0EC55552A512C4 . 3583488 . . [7.00.6000.16481] . . c:\windows\ie7updates\KB937143-IE7\mshtml.dll
[-] 2007-03-07 . E2F3DEBB0186D233F5354ADDBD12244E . 3581952 . . [7.00.6000.16441] . . c:\windows\ie7updates\KB933566-IE7\mshtml.dll
[-] 2007-03-07 . 6B700997DA907ED2FD871FC75973986F . 3582976 . . [7.00.6000.20544] . . c:\windows\$hf_mig$\KB931768-IE7\SP2QFE\mshtml.dll
[7] 2007-01-12 . 5D45318804A30CE9D6EA83066E84B4A7 . 3580416 . . [7.00.6000.16414] . . c:\windows\ie7updates\KB931768-IE7\mshtml.dll
[7] 2006-10-27 . 7C91F9D79EC63BEA7CCC23F58F2C7182 . 3577856 . . [7.00.5730.11] . . c:\windows\ie7updates\KB928090-IE7\mshtml.dll
[-] 2006-03-23 . 60567BC15560DDED9CA83D5275BA911A . 3076608 . . [6.00.2900.2873] . . c:\windows\$hf_mig$\KB912812\SP2QFE\mshtml.dll
[-] 2005-03-10 . EFE9BA6DB99D649532A75B52A39EF46D . 3010560 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2gdr\mshtml.dll
[-] 2005-03-10 . 243340D137D0B54CC5B440D7E4880B63 . 3011072 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2qfe\mshtml.dll
[-] 2005-01-27 . 28A254F37138CB3E6478E131B91314A3 . 3006976 . . [6.00.2900.2604] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2gdr\mshtml.dll
[-] 2005-01-27 . 19F79F718CABBFC3DAD25D7914D5601B . 3008000 . . [6.00.2900.2604] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2qfe\mshtml.dll

[7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\user32.dll
[-] 2008-04-14 . C268AE6C540CC43F2264C8CB7A9A4243 . 580096 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . C268AE6C540CC43F2264C8CB7A9A4243 . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2007-03-08 . 78785EFF8CB90CEC1862A4CCFD9A3C3A . 579584 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 492E166CFD26A50FB9160DB536FF7D2B . 579072 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\SoftwareDistribution\Download\6f667da50bb6ed52a71fae1f7f60833d\sp2qfe\user32.dll
[-] 2005-03-02 . 3751D7CF0E0A113D84414992146BCE6A . 578560 . . [5.1.2600.2622] . . c:\windows\SoftwareDistribution\Download\6f667da50bb6ed52a71fae1f7f60833d\sp2gdr\user32.dll

[7] 2010-02-25 . 7857131DA01250E02BEE64F1163F6159 . 916480 . . [8.00.6001.18904] . . c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll
[-] 2010-02-25 . 0F8D6287627427C3D866EBB6421353D3 . 983040 . . [8.00.6001.18904] . . c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2010-02-25 . 0F8D6287627427C3D866EBB6421353D3 . 983040 . . [8.00.6001.18904] . . c:\windows\system32\wininet.dll
[-] 2010-02-25 . 0F8D6287627427C3D866EBB6421353D3 . 983040 . . [8.00.6001.18904] . . c:\windows\system32\dllcache\wininet.dll
[7] 2010-02-25 . 3C41EB3A0EC8E2606B6C906993E11C29 . 919040 . . [8.00.6001.22995] . . c:\windows\$hf_mig$\KB980182-IE8\SP3QFE\wininet.dll
[7] 2009-12-21 . F2A70583964128530B7E86B1A13023A7 . 916480 . . [8.00.6001.18876] . . c:\windows\ie8updates\KB980182-IE8\wininet.dll
[7] 2009-12-21 . 5E3A3EB3BC5849BE4D5FE2B5F1869783 . 916480 . . [8.00.6001.22967] . . c:\windows\$hf_mig$\KB978207-IE8\SP3QFE\wininet.dll
[7] 2009-10-29 . 3426FBE495D1825D5C09C84D1E9361C1 . 916480 . . [8.00.6001.18854] . . c:\windows\ie8updates\KB978207-IE8\wininet.dll
[7] 2009-10-29 . 0A4248E124C88EDD1E0A93AE93E4DB6A . 916480 . . [8.00.6001.22945] . . c:\windows\$hf_mig$\KB976325-IE8\SP3QFE\wininet.dll
[7] 2009-08-29 . 6B985F8E8ACE6A6424BE04A90C1E652A . 916480 . . [8.00.6001.18828] . . c:\windows\ie8updates\KB976325-IE8\wininet.dll
[7] 2009-08-29 . 11DA6B380B94BAABCFD0854526AFC602 . 916480 . . [8.00.6001.22918] . . c:\windows\$hf_mig$\KB974455-IE8\SP3QFE\wininet.dll
[7] 2009-07-03 . 3B6D4582FADA3948593C56F96964FEFA . 915456 . . [8.00.6001.22896] . . c:\windows\$hf_mig$\KB972260-IE8\SP3QFE\wininet.dll
[7] 2009-07-03 . 6E3E0C6060EFC8B855DFCBC7AE18B377 . 915456 . . [8.00.6001.18806] . . c:\windows\ie8updates\KB974455-IE8\wininet.dll
[7] 2009-05-13 . 13521D5B5A6F1A47459909D32409A369 . 915456 . . [8.00.6001.22873] . . c:\windows\$hf_mig$\KB969897-IE8\SP3QFE\wininet.dll
[7] 2009-05-13 . F85681C65CA3CD5D4B0E4CE88FDF6685 . 915456 . . [8.00.6001.18783] . . c:\windows\ie8updates\KB972260-IE8\wininet.dll
[7] 2009-03-08 . 6CE32F7778061CCC5814D5E0F282D369 . 914944 . . [8.00.6001.18702] . . c:\windows\ie8updates\KB969897-IE8\wininet.dll
[7] 2008-12-20 . 2B5AE9ACD86E1B8B86D62E153DE130AB . 827904 . . [7.00.6000.20978] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\wininet.dll
[7] 2008-12-20 . C3D4047626F8CC8EC7DD7558FA5CC2E2 . 826368 . . [7.00.6000.16791] . . c:\windows\ie8\wininet.dll
[7] 2008-10-16 . CBAAEBDFC6F9291D2D31E36FE1AD19AC . 826368 . . [7.00.6000.16762] . . c:\windows\ie7updates\KB961260-IE7\wininet.dll
[7] 2008-10-16 . 5A1F997EC096EF26F3A3880347F5F9D8 . 827904 . . [7.00.6000.20935] . . c:\windows\$hf_mig$\KB958215-IE7\SP2QFE\wininet.dll
[7] 2008-08-26 . E1F83BCC84D6223965D35AB06B63BBEB . 827904 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
[7] 2008-08-26 . B905F284F45675F3019413DFF055C666 . 826368 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB958215-IE7\wininet.dll
[7] 2008-06-23 . 7B28D5C8C5C075037F864256E4044B83 . 826368 . . [7.00.6000.16705] . . c:\windows\ie7updates\KB956390-IE7\wininet.dll
[7] 2008-06-23 . 4F08E6D8C9DDA8ED4346A1857849ADB3 . 827904 . . [7.00.6000.20861] . . c:\windows\$hf_mig$\KB953838-IE7\SP2QFE\wininet.dll
[7] 2008-04-23 . 751EFBEC900CC4E4B41DB6E522B67D41 . 827392 . . [7.00.6000.20815] . . c:\windows\$hf_mig$\KB950759-IE7\SP2QFE\wininet.dll
[7] 2008-04-23 . A5795741E53F72C4A2736BC51007A5D5 . 826368 . . [7.00.6000.16674] . . c:\windows\ie7updates\KB953838-IE7\wininet.dll
[7] 2008-03-01 . 32FC70AC1EFFE28DB72FDF1DCC319E72 . 826368 . . [7.00.6000.16640] . . c:\windows\ie7updates\KB950759-IE7\wininet.dll
[7] 2008-03-01 . A7B7383EC19F0C5EBD02CB7826C8488B . 827392 . . [7.00.6000.20772] . . c:\windows\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll
[-] 2007-12-07 . BA4D7D3098E2BA8AEA34A19BBECF9962 . 824832 . . [7.00.6000.16608] . . c:\windows\ie7updates\KB947864-IE7\wininet.dll
[-] 2007-12-07 . 16EF6865A405134CE64A3AA6CEF6C69F . 825344 . . [7.00.6000.20733] . . c:\windows\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
[-] 2007-10-10 . FA5FA22E6F36F8453E9377810B3F9939 . 824832 . . [7.00.6000.16574] . . c:\windows\ie7updates\KB944533-IE7\wininet.dll
[-] 2007-10-10 . 6A1AEF7B9E513ACB566B16B0BA133C7C . 825344 . . [7.00.6000.20696] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
[-] 2007-08-20 . CAFC9797228843012CED767D24D8DCFC . 824832 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\wininet.dll
[-] 2007-08-20 . 283D85F8192FA54F2CA978B659965739 . 825344 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
[-] 2007-06-27 . 17D39B59E2E3740058AE3FBCD432CEDE . 824320 . . [7.00.6000.20627] . . c:\windows\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
[-] 2007-06-27 . 0D58CEBD30684B481C8DF3DA69375410 . 823808 . . [7.00.6000.16512] . . c:\windows\ie7updates\KB939653-IE7\wininet.dll
[-] 2007-04-25 . 26DB81279FED58D5199235C26D4836E2 . 823808 . . [7.00.6000.20583] . . c:\windows\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll
[-] 2007-04-25 . 4E9436B0301B0451ED2FB29364AB090F . 822784 . . [7.00.6000.16473] . . c:\windows\ie7updates\KB937143-IE7\wininet.dll
[-] 2007-03-07 . C601BD2849927D44F8549F720CFA14D3 . 822784 . . [7.00.6000.16441] . . c:\windows\ie7updates\KB933566-IE7\wininet.dll
[-] 2007-03-07 . 4EF1AE9A4D801AB63EC752478247BFCE . 823296 . . [7.00.6000.20544] . . c:\windows\$hf_mig$\KB931768-IE7\SP2QFE\wininet.dll
[7] 2007-01-12 . BE43D00D802C92F01C8CC952C6F483F8 . 822784 . . [7.00.6000.16414] . . c:\windows\ie7updates\KB931768-IE7\wininet.dll
[7] 2006-10-27 . 7CF0B0D5D9D47585853E2A6978441F64 . 818688 . . [7.00.5730.11] . . c:\windows\ie7updates\KB928090-IE7\wininet.dll
[-] 2006-03-04 . C91B7839095133064F9C898897F8D64C . 669184 . . [6.00.2900.2861] . . c:\windows\$hf_mig$\KB912812\SP2QFE\wininet.dll
[-] 2005-03-10 . 0E2E035170CB6C3E0AD629C45BF3F71B . 662528 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2gdr\wininet.dll
[-] 2005-03-10 . 235D1D42C2D23FA1BC8A9EDB267FFE86 . 663552 . . [6.00.2900.2627] . . c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2qfe\wininet.dll
[-] 2005-01-27 . 5CABB0E97C9A19B2165DD189B04BD006 . 662528 . . [6.00.2900.2577] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2gdr\wininet.dll
[-] 2005-01-27 . D9460271895ADBB382769AF1FC701169 . 663552 . . [6.00.2900.2598] . . c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2qfe\wininet.dll

[-] 2008-04-14 . C4F91B363B29E589E84E6D9D41A92952 . 1544192 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\explorer.exe
[-] 2008-04-14 . C4F91B363B29E589E84E6D9D41A92952 . 1544192 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . 64D320C0E301EEDC5A4ADBBDC5024F7F . 1036288 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[7] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe
[-] 2008-04-14 . 6BB3F4E4B01913F1764CC137E841B520 . 40448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-14 . 6BB3F4E4B01913F1764CC137E841B520 . 40448 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" [2004-09-03 2596864]
"Dit"="Dit.exe" [2004-04-02 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 40448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"DontSetAutoplayCheckbox"= 1 (0x1)
"NoAutorun"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)
"DontSetAutoplayCheckbox"= 1 (0x1)
"NoAutorun"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Exif Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Exif Launcher.lnk
backup=c:\windows\pss\Exif Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2008-11-20 08:06	178688	----a-w-	c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2006-10-12 14:57	102400	------w-	c:\programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\programme\QuickTime Alternative\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
2005-06-27 13:32	278528	----a-w-	c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"REGSHAVE"=c:\programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\League of Legends\\Air\\LolClient.exe"=
"c:\\Programme\\League of Legends\\Game\\League of Legends.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56608:TCP"= 56608:TCP:Pando Media Booster
"56608:UDP"= 56608:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6975:TCP"= 6975:TCP:League of Legends Launcher
"6975:UDP"= 6975:UDP:League of Legends Launcher

R0 SI3112r;ATI-4379 Serial ATA Controller;c:\windows\system32\drivers\SI3112r.sys [27.08.2004 16:18 102400]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [03.05.2005 20:35 10240]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [19.03.2005 11:29 81408]
R1 vbev5mp;vbev5mp;c:\windows\system32\drivers\VBEV5MP.sys [12.11.2003 09:26 56064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.09.2009 19:59 135336]
R3 uscsc108;uscsc108;c:\windows\system32\drivers\uscsc108.sys [09.03.2003 18:41 102336]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.11.2004 18:20 13440]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys --> c:\windows\system32\Drivers\dsltestSp5.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [21.04.2007 14:05 1527900]
S3 GT680xNT;USB Scanner Driver;c:\windows\system32\drivers\gt680x.sys --> c:\windows\system32\drivers\gt680x.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\SophosMEMSWEEP.SYS --> c:\windows\system32\SophosMEMSWEEP.SYS [?]
S3 MRVW225;USB54M Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [26.10.2007 19:25 299776]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [21.04.2007 14:04 544768]
S4 cdawdm;CDAWDM;c:\windows\system32\DRIVERS\CDAWDM.sys --> c:\windows\system32\DRIVERS\CDAWDM.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - avprnzsn
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://bit.ly/bxFzgb
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\Jonas nur Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\yl2znjtz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\programme\Opera\program\plugins\npqtplugin8.dll
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\QuickTime Alternative\Plugins\npqtplugin5.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
.
------- Dateityp-Verknüpfung -------
.
txtfile=NotePad.exe "%1" %*
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-08 17:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x86218450]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebf28
\Driver\ACPI -> ACPI.sys @ 0xf743dcb8
\Driver\atapi -> 0x86218450
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
 ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
 ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
NDIS: VIA Rhine III Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf7186bb0
 PacketIndicateHandler -> NDIS.sys @ 0xf7193a21
 SendHandler -> NDIS.sys @ 0xf717187b
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
copy of MBR has been found in sector 0x012A18AC1 
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avprnzsn]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(900)
c:\windows\system32\wdigest.dll
c:\windows\system32\SETUPAPI.dll
.
Zeit der Fertigstellung: 2010-06-08  17:35:16
ComboFix-quarantined-files.txt  2010-06-08 15:35
ComboFix2.txt  2010-06-07 18:47

Vor Suchlauf: 32 Verzeichnis(se), 37.086.224.384 Bytes frei
Nach Suchlauf: 33 Verzeichnis(se), 37.058.449.408 Bytes frei

- - End Of File - - 0041D20239AD37E4ACC3EF1BD931C6EC

--- --- ---

07.06.2010, 16:47	#4
Larusso /// Selecta Jahrusso	merkwürdige Dateien im Autostart Kannst Du die Logfile bei File-Upload.net hochladen und mir den Downloadlink posten ? __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

merkwürdige Dateien im Autostart

Plagegeister aller Art und deren Bekämpfung: merkwürdige Dateien im Autostart