BDS/Papras.JF [backdoor]' detected in file 'C:\WINDOWS\mobsstrt.dll.

VampirLetsat · 21.06.2010, 15:33

Hey Leute, hab da ein Problem.
Hab Avira (freeware version) und die hat mir hezute nach nem update immer folgenden Alarm auf den Bildschirm geworfen

Virus or unwanted program 'BDS/Papras.JF [backdoor]'
detected in file 'C:\WINDOWS\mobsstrt.dll.

Dieser Alarm kam bei jedem Programm dass ich aufzumachen versuchte ( firefox, IE, soger Suchfunktion und bei 'Hardware sicher entfernen') Hab Avira jetzt den Befehl gegeben die Datei permanent zu blocken. Ich hab im Internet gesucht (mal vorweg, ich bin in idesen Dingen nicht erfahren!!) und habe nichts über diese Malware gefunden. Hab auch Malwarenbites und Spybot drüberlaufen lassen. Beide haben nichts gefunden. Ist das ein Fehlalarm oder wie soll ich weiter vorgehen??

Larusso · 21.06.2010, 16:12

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

VampirLetsat · 24.06.2010, 14:03

ok, sorry erst mal das ich mir mit ner Antwort solange zeit gelassen habe. Als ich das Problem ursprünglich gepostet hab, habe ich nen Saystemscan mit meinem Avira durchlaufen lassen ( da hatte ich noch keine Antwort auf mein Posting und wusste nicht dass ich nicht ohne anweisung scannen soll). Der wurde auch fündig und hatt die betroffenen Dateien ( 5 warens glaub ich) erfolgreich gelöscht. Dann gabs keine Probleme mehr und ich dachte ich bin aus dem Schneider. Heute aber (drei Tage ohne Meldungen) beginnt es von neuem. Ich weis also nicht obs ne neue Infektion oder noch immer die alte ist ( machte bisher täglich nen Komplettscan ohne Fund). Jedenfalls hat Avira das Teil wieder "vermutlich" gelöscht, will aber trotzdem sicher gehen und um eure Hilfe bitten. Hier also die angefordertedn logfiles:

OTL.txt

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 24.06.2010 14:58:03 - Run 3
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Dokumente und Einstellungen\Brettner\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 83,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 186,30 Gb Total Space | 81,42 Gb Free Space | 43,70% Space Free | Partition Type: NTFS
Drive D: | 7,11 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ROBERT
Current User Name: Brettner
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.06.24 14:57:30 | 000,574,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Brettner\Desktop\OTL.exe
PRC - [2010.04.02 18:24:39 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.03.19 10:49:20 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.02.18 11:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.11.29 13:48:29 | 000,604,488 | ---- | M] (TuneUp Software) -- C:\WINDOWS\system32\TUProgSt.exe
PRC - [2009.07.21 14:34:33 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:22 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.04.02 12:47:04 | 000,234,888 | ---- | M] () -- C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
PRC - [2009.04.02 12:47:02 | 000,464,264 | ---- | M] () -- C:\Programme\AskBarDis\bar\bin\AskService.exe
PRC - [2009.03.02 13:08:47 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.09.16 12:03:18 | 000,169,312 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
PRC - [2008.06.03 01:06:34 | 005,964,800 | ---- | M] () -- C:\Program Files\ASUS\Six Engine\SixEngine.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.10.09 16:21:02 | 000,124,280 | ---- | M] (Seagate Technology LLC) -- C:\Programme\Seagate\Basics\Service\SyncServicesBasics.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.06.24 14:57:30 | 000,574,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Brettner\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.04.18 16:54:13 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.03.19 10:49:20 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2009.11.29 13:48:29 | 000,604,488 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\WINDOWS\system32\TUProgSt.exe -- (TuneUp.ProgramStatisticsSvc)
SRV - [2009.11.29 13:48:27 | 000,361,288 | ---- | M] (TuneUp Software) [On_Demand | Stopped] -- C:\WINDOWS\system32\TuneUpDefragService.exe -- (TuneUp.Defrag)
SRV - [2009.11.16 13:25:48 | 000,029,000 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2009.07.21 14:34:33 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:22 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.04.02 12:47:04 | 000,234,888 | ---- | M] () [Auto | Running] -- C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe -- (ASKUpgrade)
SRV - [2009.04.02 12:47:02 | 000,464,264 | ---- | M] () [Auto | Running] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService)
SRV - [2008.11.04 01:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008.09.16 12:03:18 | 000,169,312 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor7.0)
SRV - [2007.10.09 16:21:02 | 000,124,280 | ---- | M] (Seagate Technology LLC) [Auto | Running] -- C:\Programme\Seagate\Basics\Service\SyncServicesBasics.exe -- (Basics Service)
SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.05.22 18:42:56 | 000,138,384 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PnkBstrK.sys -- (PnkBstrK)
DRV - [2010.03.17 19:22:23 | 000,279,712 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)
DRV - [2010.03.17 19:22:22 | 000,025,888 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2010.01.12 06:03:33 | 010,276,768 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2009.12.08 18:37:13 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.09.27 17:26:01 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2009.05.11 10:12:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:07 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:05 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.09.23 19:15:00 | 000,038,400 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l1e51x86.sys -- (L1e)
DRV - [2008.07.22 10:01:34 | 000,151,592 | ---- | M] (Marvell Semiconductor, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\mv61xx.sys -- (mv61xx)
DRV - [2008.07.03 11:03:00 | 004,745,216 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.12.17 11:14:06 | 000,012,400 | R--- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsIO.sys -- (AsIO)
DRV - [2006.03.26 14:22:14 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2004.08.13 12:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004.08.09 13:33:26 | 000,114,016 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2004.08.09 13:29:28 | 000,053,920 | ---- | M] (Protection Technology) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2004.07.19 16:49:54 | 000,007,040 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\prosync1.sys -- (prosync1)
DRV - [2003.12.01 17:20:52 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp01.sys -- (sfhlp01)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "DAEMON Search"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.02.11 18:50:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.12 20:10:51 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.12 20:18:09 | 000,000,000 | ---D | M]
 
[2009.08.15 12:05:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\Mozilla\Extensions
[2010.06.23 20:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\Mozilla\Firefox\Profiles\kjz0qir3.default\extensions
[2009.09.02 08:01:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\Mozilla\Firefox\Profiles\kjz0qir3.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.09.28 17:31:23 | 000,002,399 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\Mozilla\Firefox\Profiles\kjz0qir3.default\searchplugins\daemon-search.xml
[2010.06.23 20:35:36 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.12 20:18:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.01.22 06:48:18 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.22 06:48:18 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.22 06:48:18 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.22 06:48:18 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.22 06:48:18 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\smart web printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\smart web printing\hpswp_BHO.dll (Hewlett-Packard Co.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\ShellBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [Six Engine] C:\Program Files\ASUS\Six Engine\SixEngine.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\smart web printing\hpswp_BHO.dll (Hewlett-Packard Co.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.08.15 11:21:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.07.16 03:07:53 | 000,000,044 | R--- | M] () - D:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\Shell - "" = AutoRun
O33 - MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\Shell\AutoRun\command - "" = F:\autorun.exe -- File not found
O33 - MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\Shell - "" = AutoRun
O33 - MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -- File not found
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: netsping - (C:\WINDOWS\system32\mobsstrt.dll) - C:\WINDOWS\System32\mobsstrt.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2009.08.15 13:07:13 | 000,000,000 | ---D | M]
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
NetSvcs: Wmi - C:\WINDOWS\system32\wmi.dll (Microsoft Corporation)
NetSvcs: WmdmPmSp -  File not found
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902109354000384)
 
========== Files/Folders - Created Within 90 Days ==========
 
File not found -- C:\Dokumente und Einstellungen\Brettner\Desktop\Heroic Age [Shinsen-Subs
[2010.06.24 14:57:28 | 000,574,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Brettner\Desktop\OTL.exe
[2010.06.21 16:20:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\Malwarebytes
[2010.06.21 16:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.06.21 16:05:30 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.06.19 17:53:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2010.06.19 17:53:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\HPAppData
[2010.06.18 05:43:53 | 001,674,242 | ---- | C] (Methlabs Productions                                        ) -- C:\Dokumente und Einstellungen\Brettner\Desktop\pg2-070309.exe
[2010.05.20 18:22:57 | 000,000,000 | ---D | C] -- C:\Programme\MP4Converter
[2010.05.20 10:43:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Anwendungsdaten\DOSBox
[2010.05.20 10:42:27 | 000,000,000 | ---D | C] -- C:\Programme\DOSBox-0.74
[2010.05.20 10:40:07 | 001,448,809 | ---- | C] (DOSBox Team) -- C:\Dokumente und Einstellungen\Brettner\Eigene Dateien\DOSBox0.74-win32-installer.exe
[2010.05.10 19:00:45 | 000,000,000 | ---D | C] -- C:\Programme\MKVtoolnix
[2010.05.10 18:55:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Brettner\Eigene Dateien\convert
[2010.05.08 11:09:44 | 000,000,000 | ---D | C] -- C:\Programme\New Generation Software
[2010.05.08 11:09:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Brettner\WINDOWS
[2010.04.25 14:51:58 | 000,000,000 | ---D | C] -- C:\Programme\SEGA
[2010.04.18 17:09:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2010.04.18 17:09:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
[2010.04.18 16:54:12 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared
[2010.04.18 16:52:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\Fonts
[2010.04.18 16:49:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
[2010.04.18 16:07:48 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos
[2010.04.18 16:06:28 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Silverlight
[2010.04.18 16:06:21 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft
[2010.04.18 16:06:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft
[2010.04.18 16:06:08 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live SkyDrive
[2010.04.18 16:03:41 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Windows Live
[2010.04.17 09:40:51 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.04.17 09:40:46 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2010.04.17 09:40:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.04.17 09:39:05 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.04.17 09:37:27 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2010.04.13 18:43:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Brettner\Eigene Dateien\My Games
[2010.04.11 13:52:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\RegisteredPackages
[2010.04.11 13:47:48 | 000,000,000 | ---D | C] -- C:\Programme\Midway Games
[2010.04.05 14:18:59 | 000,000,000 | ---D | C] -- C:\Programme\THQ
[2010.04.02 18:55:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\InstallShield
[2010.03.30 20:45:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.03.30 20:45:30 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.03.28 19:34:53 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Brettner\Recent
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 90 Days ==========
 
File not found -- C:\Dokumente und Einstellungen\Brettner\Desktop\Heroic Age [Shinsen-Subs
[2010.06.24 14:57:30 | 000,574,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Brettner\Desktop\OTL.exe
[2010.06.24 14:54:36 | 000,000,498 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2010.06.24 14:54:06 | 000,271,490 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.06.24 14:54:03 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.24 14:53:59 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.24 06:03:56 | 007,077,888 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\NTUSER.DAT
[2010.06.23 06:01:56 | 001,004,918 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.23 06:01:56 | 000,451,980 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.23 06:01:56 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.23 06:01:56 | 000,080,920 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.23 06:01:56 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.22 21:19:39 | 000,001,774 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Medieval II Total War Americas.lnk
[2010.06.22 20:22:01 | 000,001,723 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Medieval II Total War.lnk
[2010.06.22 20:19:18 | 131,470,225 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\Total_War_Kingdoms_EnFrItGeSp.rar
[2010.06.22 17:42:13 | 000,071,680 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.21 21:20:58 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2010.06.20 08:09:17 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.18 05:45:00 | 000,000,604 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\PeerGuardian.lnk
[2010.06.18 05:44:00 | 001,674,242 | ---- | M] (Methlabs Productions                                        ) -- C:\Dokumente und Einstellungen\Brettner\Desktop\pg2-070309.exe
[2010.06.17 20:09:05 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.06.15 16:49:57 | 000,001,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Die Sims™ 3 Traumkarrieren.lnk
[2010.06.13 14:55:59 | 000,001,871 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EA Download Manager.lnk
[2010.06.12 11:43:44 | 000,277,352 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.11 16:20:43 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.06.10 22:04:06 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.06.10 21:47:13 | 000,000,008 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[2010.05.26 19:41:46 | 000,057,236 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.05.22 18:42:56 | 000,138,384 | ---- | M] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2010.05.22 18:42:42 | 000,215,128 | ---- | M] () -- C:\WINDOWS\System32\PnkBstrB.xtr
[2010.05.20 18:23:04 | 000,000,882 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\PS3 Video Converter 3.lnk
[2010.05.20 10:40:07 | 001,448,809 | ---- | M] (DOSBox Team) -- C:\Dokumente und Einstellungen\Brettner\Eigene Dateien\DOSBox0.74-win32-installer.exe
[2010.05.08 16:05:33 | 002,647,236 | -H-- | M] () -- C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.05.08 11:10:32 | 000,000,022 | ---- | M] () -- C:\WINDOWS\WET.INI
[2010.04.21 10:07:44 | 000,041,177 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\Orange_Service_Abrechnung_NR_85239416.PDF
[2010.04.19 15:43:46 | 000,071,984 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.04.19 06:00:21 | 000,000,587 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.04.18 16:54:08 | 000,000,910 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Photoshop Elements 7.0.lnk
[2010.04.17 09:39:19 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2010.04.14 21:05:07 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.04.14 09:51:20 | 000,292,772 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\Pflegearbeit SAB 37 Suda Wolfgang.pdf
[2010.04.11 18:45:37 | 000,000,031 | ---- | M] () -- C:\WINDOWS\progress
[2010.04.10 15:48:36 | 000,001,469 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Vuze.lnk
[2010.04.02 18:54:09 | 000,002,169 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steam.lnk
[2010.03.28 19:36:39 | 000,039,176 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Eigene Dateien\cc_20100328_193634.reg
[2010.03.28 19:33:52 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\CCleaner.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.06.22 21:19:39 | 000,001,774 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Medieval II Total War Americas.lnk
[2010.06.22 20:22:01 | 000,001,723 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Medieval II Total War.lnk
[2010.06.22 20:12:24 | 131,470,225 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\Total_War_Kingdoms_EnFrItGeSp.rar
[2010.06.18 05:45:00 | 000,000,604 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\PeerGuardian.lnk
[2010.06.17 21:35:33 | 000,014,974 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\hs_err_pid3408.log
[2010.06.15 16:49:57 | 000,001,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Die Sims™ 3 Traumkarrieren.lnk
[2010.05.20 18:23:04 | 000,000,882 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\PS3 Video Converter 3.lnk
[2010.05.10 21:04:41 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2010.05.08 11:10:32 | 000,000,022 | ---- | C] () -- C:\WINDOWS\WET.INI
[2010.04.21 10:07:44 | 000,041,177 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\Orange_Service_Abrechnung_NR_85239416.PDF
[2010.04.18 16:54:08 | 000,000,910 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Photoshop Elements 7.0.lnk
[2010.04.17 09:41:12 | 000,002,121 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2010.04.17 09:39:19 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2010.04.14 21:30:59 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2010.04.14 09:51:20 | 000,292,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\Pflegearbeit SAB 37 Suda Wolfgang.pdf
[2010.04.11 18:45:33 | 000,000,031 | ---- | C] () -- C:\WINDOWS\progress
[2010.04.11 13:52:31 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2010.04.11 13:52:31 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\dllcache\psisdecd.dll
[2010.04.11 13:52:31 | 000,052,224 | ---- | C] () -- C:\WINDOWS\System32\msdvbnp.ax
[2010.04.11 13:52:31 | 000,052,224 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msdvbnp.ax
[2010.04.11 13:52:31 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\psisrndr.ax
[2010.04.11 13:52:31 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\dllcache\psisrndr.ax
[2010.04.11 13:52:30 | 000,733,184 | ---- | C] () -- C:\WINDOWS\System32\dllcache\qedwipes.dll
[2010.04.11 13:52:30 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msdmo.dll
[2010.04.11 13:52:29 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mpg2splt.ax
[2010.04.11 13:52:29 | 000,064,512 | ---- | C] () -- C:\WINDOWS\System32\dllcache\amstream.dll
[2010.04.11 13:52:29 | 000,034,304 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mciqtz32.dll
[2010.03.28 19:36:37 | 000,039,176 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\Eigene Dateien\cc_20100328_193634.reg
[2010.03.28 19:33:52 | 000,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Brettner\Desktop\CCleaner.lnk
[2010.03.17 19:22:23 | 000,279,712 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2010.03.17 19:22:22 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2010.02.27 19:40:46 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009.11.20 18:06:59 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2009.10.04 10:14:22 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.09.27 17:26:00 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2009.08.16 10:30:22 | 000,138,384 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2009.08.15 11:42:42 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2009.08.15 11:42:42 | 000,012,400 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2009.08.15 11:42:40 | 000,011,832 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp64.sys
[2009.08.15 11:42:40 | 000,010,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp32.sys
[2009.08.15 11:27:01 | 000,038,383 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2009.08.15 11:26:28 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2009.08.15 11:26:21 | 000,037,930 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.08.15 11:26:21 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2006.03.18 15:16:04 | 000,540,178 | ---- | C] () -- C:\WINDOWS\System32\x264vfw.dll
[1998.03.22 13:50:02 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
 
========== LOP Check ==========
 
[2009.08.15 19:01:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
[2009.09.27 17:27:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010.02.13 18:45:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
[2010.02.11 18:58:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2010.04.18 17:09:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2009.10.11 18:15:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seagate
[2009.08.16 09:52:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.11.20 18:10:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010.04.17 09:41:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.09.15 20:00:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.08.15 19:21:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2010.06.23 05:54:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\Azureus
[2009.09.27 17:28:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\DAEMON Tools Lite
[2010.02.20 21:42:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\DC++
[2009.10.09 05:49:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\EA
[2009.11.20 18:16:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\EPSON
[2009.09.28 19:52:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\ImgBurn
[2009.08.16 09:53:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Brettner\Anwendungsdaten\TuneUp Software
[2010.06.24 14:54:36 | 000,000,498 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.04.18 17:09:50 | 000,000,000 | ---- | M] () -- C:\AdobeDebug.txt
[2009.08.15 11:21:19 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2009.08.15 11:16:50 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.08.15 11:21:19 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.08.15 11:21:19 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.08.15 11:21:19 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2009.08.17 16:05:20 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.06.24 14:53:56 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
[2009.08.15 11:40:26 | 000,000,797 | ---- | M] () -- C:\RHDSetup.log
[2009.08.15 11:45:34 | 000,000,046 | -H-- | M] () -- C:\splash.idx
[2008.08.15 20:02:18 | 000,005,632 | -H-- | M] () -- C:\version
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.08.15 13:11:40 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.08.15 13:11:40 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.08.15 13:11:40 | 000,446,464 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\drivers\*.sys /90 >
[2010.04.18 16:51:09 | 000,009,336 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\drivers\cdr4_xp.sys
[2010.04.18 16:51:09 | 000,009,464 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\drivers\cdralw2k.sys
[2010.05.22 18:42:56 | 000,138,384 | ---- | M] () -- C:\WINDOWS\system32\drivers\PnkBstrK.sys
[2010.04.18 16:51:09 | 000,043,528 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\drivers\PxHelp20.sys
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 04:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs >
< End of report >

--- --- ---

Extras.txt wurde keiner von OTL erstellt ?!?

Larusso · 24.06.2010, 15:20

OTL logfile created on: 24.06.2010 14:58:03 - Run 3

?????

Was ist die Festplatte D: ?

Schritt 1

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista User: Bitte mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.

Schritt 2

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
O36 - AppCertDlls: netsping - (C:\WINDOWS\system32\mobsstrt.dll) - C:\WINDOWS\System32\mobsstrt.dll File not found
O33 - MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\Shell - "" = AutoRun
O33 - MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\Shell\AutoRun\command - "" = F:\autorun.exe -- File not found
O33 - MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\Shell - "" = AutoRun
O33 - MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -- File not found
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\ShellBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
FF - prefs.js..browser.search.selectedEngine: "DAEMON Search"
:services
:files
C:\Programme\DAEMON Tools Toolbar
C:\Programme\AskBarDis
:reg
:Commands
[purity]
[emptytemp]
[reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt 4

Starte Malwarebytes--> Reiter Scan-Berichte--> klick auf den aktuellsten Bericht--> es öffnet sich automatisch ein Text-Dokument

Poste mir diesen Bericht

Schritt 5

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

Bitte poste in Deiner nächsten Antwort
Defogger_disable.txt
OTLfix Log
Gmer.txt
MBAM Log
OTL.txt
Extras.txt

VampirLetsat · 24.06.2010, 15:45

Ok, es gab Probleme.

Erstens die Festplatte bei mir ist C: !!

hier sind mal der OTL.Fix log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\netsping:C:\WINDOWS\system32\mobsstrt.dll deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45538a9c-ab7a-11de-a53a-00235496bcdc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45538a9c-ab7a-11de-a53a-00235496bcdc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{45538a9c-ab7a-11de-a53a-00235496bcdc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45538a9c-ab7a-11de-a53a-00235496bcdc}\ not found.
File F:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a998cb0-ea6e-11de-a5c0-00235496bcdc}\ not found.
File I:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.
File E:\LaunchU3.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ deleted successfully.
C:\Programme\AskBarDis\bar\bin\askBar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ deleted successfully.
C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
File C:\Programme\AskBarDis\bar\bin\askBar.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
File C:\Programme\AskBarDis\bar\bin\askBar.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.
File C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
File C:\Programme\AskBarDis\bar\bin\askBar.dll not found.
Prefs.js: "DAEMON Search" removed from browser.search.selectedEngine
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\Programme\DAEMON Tools Toolbar\Resources folder moved successfully.
C:\Programme\DAEMON Tools Toolbar folder moved successfully.
C:\Programme\AskBarDis\bar\Settings folder moved successfully.

und der defogger log

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:23 on 24/06/2010 (Brettner)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

Nun hab ich nach dem Neustart nach dem OTL.fix genau laut Anleitung Avira abgedreht, zuvor internet gekappt. Hab sonst keine scanner laufen (windows Firewall zählt ja nicht, oder ?)

Dan hab ich den GMER scannen lassen. Nur ist das System nach kurzer Zeit komplett eingefroren ( nicht mal mehr mauscursor bewegen können).

Außerdem waren nach dem ersten Neustart auf einmal die unsichtbaren Dateien und die File extensions sichtbar. Ist das normal??

Larusso · 24.06.2010, 15:48

Ja das soll vorkommen.

Zitat:

Drive D: | 7,11 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS

Versuche GMER bitte im abgesicherten Modus.
Beim hochfahren mehrmals F8 drücken.

VampirLetsat · 24.06.2010, 16:16

Also das mit GMER funktioniert nicht. Habe im abgesicherten Modus gestartet.
Der Scan lief deutlich länger und anscheinend ohne Probleme. Hab das Zimmer verlassen um ihn in Ruhe Scannen zu lassen. Als ich zurückgekommen bin war Windows neu hochgefahren und die Fehlermeldung das das Programmm wegen eines schwerwiegenden Fehlers beendet wurde.

Larusso · 25.06.2010, 12:03

Sophos Antirootkit Scanner

Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

VampirLetsat · 25.06.2010, 15:29

ok, hat hingehauen, hier ist der Log:

Sophos Anti-Rootkit Version 1.5.0 (c) 2009 Sophos Plc
Started logging on 25.06.2010 at 15:54:11
User "Brettner" on computer "ROBERT"
Windows version 5.1 SP 3.0 Service Pack 3 build 2600 SM=0x300 PT=0x1 Win32
Info: Starting process scan.
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Hidden: file C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Temp\Munto
Hidden: file C:\Dokumente und Einstellungen\Brettner\Desktop\Heroic Age [Shinsen-Subs
Hidden: file C:\Dokumente und Einstellungen\Brettner\Lokale Einstellungen\Temp\Heroic Age [Shinsen-Subs
Stopped logging on 25.06.2010 at 16:17:49

VampirLetsat · 26.06.2010, 09:08

ok, sorry für double pots, wollte nur kurz was fragen. Wie kann ich miene Beiträge editieren?? Geht das hier nicht?

VampirLetsat · 01.07.2010, 14:51

Hallo? Hat man mich schon aufgegeben?

Larusso · 01.07.2010, 14:57

Sorry, durchgerutscht

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Larusso · 06.07.2010, 15:15

Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.

BDS/Papras.JF [backdoor]' detected in file 'C:\WINDOWS\mobsstrt.dll.

Plagegeister aller Art und deren Bekämpfung: BDS/Papras.JF [backdoor]' detected in file 'C:\WINDOWS\mobsstrt.dll.