Animalware-Doctor überlebt Malwarebytes und Avira AntiVir

16.07.2010, 22:18

Liebe Profis,
ich habe mir schon ein paar Threads zum Thema Antimalware-Doctor hier durchgelesen, muss nun aber auch persönlich um Hilfe bitten, da sich das Programm nach jedem Neustart wieder öffnet.

Der Reihe nach:

Gestern startete Antimalware-Doctor mit ziemlich vielen Fenstern, die sich aber mit dem Task-Manager beenden liessen. Nach einem Neustart ging das ganze wieder los, allerdings konnte ich nun nicht mehr auf den Task-Manager zugreifen (der blinkte nur kurz auf und war wieder weg).

Als ersten Schritt habe ich im abgesicherten Modus Malwarebytes installiert, gestartet und allen gefundenen Kram entfernt (incl. Antimalware-Doctor).

Beim Start im normalen Modus konnte ich nun die sofort wieder auftauchenden Fenster über den Task-Manager abbrechen.

Als nächstes habe ich Avira AntiVir installiert und auch alles entfernt, was der gefunden hat.

Beim nächsten Neustart-> gleiches Bild, die Fenster öffnen sich, ich mache sofort den Task-Manager auf und "ersticke alles im Keim". Das sind so ca 5 Prozesse, dann ist Ruhe.

Jetzt habe ich mich auch wieder ins Internet getraut und bei Euch ein bisschen gelesen.

Daraufhin CrapCleaner und rkill ausgeführt, sowie den OTL-Scan gemacht.

Anbei die Textdateien, ich hoffe, Ihr könnt mir helfen.
Ich bin jetzt gleich nicht mehr aber morgen mittag wieder online.

edit: Übrigens öffnete sich eben im Firefox ein Tab von selbst. Hab ihn gleich reflexartig geschlossen und konnte daher nicht sehen, auf welche Seite der gehen wollte.

16.07.2010, 22:19

Erster mbam-log (im abgesicherten Modus)

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

16.07.2010 20:22:51
mbam-log-2010-07-16 (20-22-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 124811
Laufzeit: 8 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a257ac3e-fe32-421d-bc04-ee788a2c6391} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a257ac3e-fe32-421d-bc04-ee788a2c6391} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Trojan.Chifrax) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xdpsp.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\SVCHOST.EXE (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\eornscxawm.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\iexplorer.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\setup.exe (Trojan.Chifrax) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\svchost.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\service.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\ie3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\taskmgr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\iexplarer.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Zweiter mbam-log (im normalen Modus)

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.07.2010 21:23:15
mbam-log-2010-07-16 (21-23-15).txt

Scan type: Quick scan
Objects scanned: 126209
Time elapsed: 8 minute(s), 53 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 1
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

16.07.2010, 22:23

Hier ist die OTL.txt
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 16.07.2010 22:15:37 - Run 1
OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\*\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 142,00 Mb Available Physical Memory | 28,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 5,38 Gb Free Space | 27,56% Space Free | Partition Type: NTFS
Drive D: | 11,72 Gb Total Space | 1,46 Gb Free Space | 12,48% Space Free | Partition Type: NTFS
Drive E: | 32,16 Gb Total Space | 9,54 Gb Free Space | 29,66% Space Free | Partition Type: FAT32
Drive F: | 32,31 Gb Total Space | 1,64 Gb Free Space | 5,07% Space Free | Partition Type: FAT32
Drive G: | 259,95 Gb Total Space | 6,40 Gb Free Space | 2,46% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: *
Current User Name: *
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\*\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\CCleaner\CCleaner.exe (Piriform Ltd)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\ATKKBService.exe (ASUSTeK COMPUTER INC.)
PRC - C:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\*\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (VTingWinIe) -- C:\WINDOWS\System32\drivers\svchost.exe File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (DAUpdaterSvc) -- G:\Spiele\Dragon Age\bin_ship\daupdatersvc.service.exe (BioWare)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (ATKKeyboardService) -- C:\WINDOWS\ATKKBService.exe (ASUSTeK COMPUTER INC.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (gdrv) -- C:\WINDOWS\gdrv.sys ()
DRV - (EIO) -- C:\WINDOWS\system32\drivers\EIO.sys (ASUSTeK Computer Inc.)
DRV - (asuskbnt) -- C:\WINDOWS\system32\drivers\atkkbnt.sys (ASUSTeK COMPUTER INC.)
DRV - (nvraid) NVIDIA nForce(tm) -- C:\WINDOWS\System32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nvatabus) -- C:\WINDOWS\System32\DRIVERS\nvatabus.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (SIS163u) -- C:\WINDOWS\system32\drivers\sis163u.sys (SiS Corporation)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (WlanUIB) -- C:\WINDOWS\system32\drivers\MA111nd5.sys ( )
DRV - (d347prt) -- C:\WINDOWS\System32\Drivers\d347prt.sys ( )
DRV - (d347bus) -- C:\WINDOWS\system32\DRIVERS\d347bus.sys ( )
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (irsir) -- C:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 1.5.0.12\Extensions\\Components: C:\Programme\Mozilla Firefox\components\ [2010.07.15 21:35:58 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 1.5.0.12\Extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins\ [2009.11.22 21:40:23 | 000,000,000 | ---D | M]
 
[2010.07.16 21:38:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\bqepw6mf.default\extensions
[2009.09.20 14:00:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\bqepw6mf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.07.16 21:38:04 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.13 19:33:52 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2009.11.22 21:40:20 | 000,061,038 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jar50.dll
[2009.11.22 21:40:20 | 000,049,256 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jsd3250.dll
[2009.11.22 21:40:20 | 000,166,000 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\xpinstal.dll
[2006.08.04 20:32:35 | 000,000,680 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazon-de.png
[2006.08.04 20:32:35 | 000,000,804 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazon-de.src
[2006.08.04 20:32:35 | 000,000,210 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.gif
[2006.08.04 20:32:35 | 000,001,075 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.src
[2006.08.04 20:32:35 | 000,001,076 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-de.gif
[2006.08.04 20:32:35 | 000,000,879 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-de.src
[2006.08.04 20:32:35 | 000,000,232 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.png
[2006.08.04 20:32:35 | 000,001,157 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.src
[2006.08.04 20:32:35 | 000,000,088 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.gif
[2006.08.04 20:32:35 | 000,001,147 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.src
 
O1 HOSTS File: ([2010.07.16 21:28:21 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (no name) - {98CE52D2-BC6F-4B9C-8111-017721C5A3E1} - No CLSID value found.
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [jcblxtfu] C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\qgdddmeqv\xmsyjmhtssd.exe ()
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware  (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MChk] C:\WINDOWS\system32\kdpsp.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz]  File not found
O4 - HKLM..\Run: [sta]  File not found
O4 - HKCU..\Run: [{8D73EDC9-3D96-367A-270C-1F7B7D22196C}] C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sasui\xuha.exe ()
O4 - HKCU..\Run: [070700Setup.exe] C:\Dokumente und Einstellungen\*\Anwendungsdaten\50E33F74449773EC236437DEBE5623CE\070700Setup.exe ()
O4 - HKCU..\Run: [jcblxtfu] C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\qgdddmeqv\xmsyjmhtssd.exe ()
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (acaptuser32.dll) - C:\WINDOWS\System32\acaptuser32.dll (Adobe Systems, Inc.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.08.03 04:21:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.04.17 19:29:09 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{a17dc396-6757-11df-b202-00148530d979}\Shell - "" = AutoRun
O33 - MountPoints2\{a17dc396-6757-11df-b202-00148530d979}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a17dc396-6757-11df-b202-00148530d979}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -- File not found
O33 - MountPoints2\{ba0330cc-61cc-11de-b001-00148530d979}\Shell - "" = AutoRun
O33 - MountPoints2\{ba0330cc-61cc-11de-b001-00148530d979}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\J\Shell - "" = AutoRun
O33 - MountPoints2\J\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\LaunchU3.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.16 22:14:41 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*\Desktop\OTL.exe
[2010.07.16 22:05:28 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*\Recent
[2010.07.16 22:00:37 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.07.16 21:58:35 | 003,396,176 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\*\Desktop\ccsetup233.exe
[2010.07.16 21:38:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.07.16 21:10:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Avira
[2010.07.16 21:03:43 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.07.16 21:03:43 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.07.16 21:03:43 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.07.16 21:03:43 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.07.16 21:03:43 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.07.16 21:03:42 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.07.16 21:03:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.07.16 20:48:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Malwarebytes
[2010.07.16 20:12:00 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.16 20:11:58 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.16 20:11:58 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.16 20:11:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.15 20:50:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Street-Ads
[2010.07.15 20:50:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sky-Banners
[2010.07.15 20:49:38 | 000,025,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\stu2.exe
[2010.07.15 20:49:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\qgdddmeqv
[2010.07.15 20:47:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\50E33F74449773EC236437DEBE5623CE
[2010.07.14 10:03:48 | 000,743,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe
[2010.07.01 08:15:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sasui
[2006.11.03 23:05:14 | 000,666,624 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\MA111nd5.sys
[2006.08.02 22:43:28 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2006.08.02 22:43:28 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.16 22:18:31 | 000,565,280 | ---- | M] () -- C:\WINDOWS\System32\drivers\rihitl.sys
[2010.07.16 22:18:29 | 000,768,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\sujcm.sys
[2010.07.16 22:14:45 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*\Desktop\OTL.exe
[2010.07.16 22:13:13 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221309.reg
[2010.07.16 22:13:00 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221255.reg
[2010.07.16 22:12:44 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221241.reg
[2010.07.16 22:12:33 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221230.reg
[2010.07.16 22:12:21 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221218.reg
[2010.07.16 22:12:07 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221204.reg
[2010.07.16 22:11:51 | 000,000,498 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221144.reg
[2010.07.16 22:11:24 | 000,001,424 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221118.reg
[2010.07.16 22:10:49 | 000,094,342 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221015.reg
[2010.07.16 22:00:39 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\CCleaner.lnk
[2010.07.16 21:58:40 | 003,396,176 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\*\Desktop\ccsetup233.exe
[2010.07.16 21:35:27 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\rkill.com
[2010.07.16 21:32:09 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.16 21:28:16 | 000,000,040 | ---- | M] () -- C:\WINDOWS\System32\service.sys
[2010.07.16 21:25:20 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.07.16 21:25:12 | 000,267,361 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.07.16 21:25:11 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.07.16 21:25:01 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.16 21:24:54 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.16 21:24:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.16 21:24:11 | 008,388,608 | ---- | M] () -- C:\Dokumente und Einstellungen\*\ntuser.dat
[2010.07.16 21:24:00 | 000,002,702 | ---- | M] () -- C:\WINDOWS\lsrslt.ini
[2010.07.16 21:03:54 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.07.16 20:58:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\*\ntuser.ini
[2010.07.16 20:58:13 | 004,315,748 | -H-- | M] () -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.16 20:29:25 | 000,000,049 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.07.15 21:14:35 | 000,018,432 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.15 20:49:37 | 000,000,150 | ---- | M] () -- C:\zrpt.xml
[2010.07.15 20:49:01 | 000,040,960 | ---- | M] () -- C:\WINDOWS\System32\userinit.exe
[2010.07.15 19:56:55 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.14 02:43:22 | 000,040,581 | ---- | M] () -- C:\WINDOWS\System32\kdpsp.exe
[2010.07.01 22:41:29 | 000,088,587 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\olga2.jpg
[2010.07.01 22:41:16 | 000,104,355 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\olga1.jpg
[2010.07.01 22:40:58 | 000,044,679 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Route.jpg
[2010.07.01 22:40:03 | 000,085,802 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\*1.jpg
[2010.07.01 22:39:48 | 000,100,549 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\*2.jpg
[2010.06.28 21:16:00 | 000,162,434 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\pdf-preview.png
[2010.06.27 00:11:02 | 001,025,112 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.27 00:11:02 | 000,459,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.27 00:11:02 | 000,441,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.27 00:11:02 | 000,084,524 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.27 00:11:02 | 000,071,196 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.23 14:04:27 | 000,000,169 | ---- | M] () -- C:\WINDOWS\RtlRack.ini
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.16 22:13:11 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221309.reg
[2010.07.16 22:12:56 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221255.reg
[2010.07.16 22:12:43 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221241.reg
[2010.07.16 22:12:31 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221230.reg
[2010.07.16 22:12:20 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221218.reg
[2010.07.16 22:12:05 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221204.reg
[2010.07.16 22:11:47 | 000,000,498 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221144.reg
[2010.07.16 22:11:21 | 000,001,424 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221118.reg
[2010.07.16 22:10:23 | 000,094,342 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221015.reg
[2010.07.16 22:00:39 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\CCleaner.lnk
[2010.07.16 21:35:32 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\rkill.com
[2010.07.16 21:28:16 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\service.sys
[2010.07.16 21:23:59 | 000,002,702 | ---- | C] () -- C:\WINDOWS\lsrslt.ini
[2010.07.16 21:03:54 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.07.15 20:50:14 | 000,565,280 | ---- | C] () -- C:\WINDOWS\System32\drivers\rihitl.sys
[2010.07.15 20:49:56 | 000,768,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\sujcm.sys
[2010.07.15 20:49:36 | 000,000,150 | ---- | C] () -- C:\zrpt.xml
[2010.07.15 20:49:27 | 000,000,000 | R--- | C] () -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\BKCmI.txt
[2010.07.15 20:49:14 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\s4wi82qy9.dll
[2010.07.14 02:43:22 | 000,040,581 | ---- | C] () -- C:\WINDOWS\System32\kdpsp.exe
[2010.07.01 22:41:29 | 000,088,587 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\olga2.jpg
[2010.07.01 22:41:16 | 000,104,355 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\olga1.jpg
[2010.07.01 22:40:03 | 000,085,802 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\*1.jpg
[2010.07.01 22:39:47 | 000,100,549 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\*2.jpg
[2010.06.28 21:16:00 | 000,162,434 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\pdf-preview.png
[2010.06.23 14:04:27 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2009.06.26 01:38:16 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.06.26 01:38:16 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2008.10.25 21:09:53 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.03.14 16:23:57 | 000,000,027 | ---- | C] () -- C:\WINDOWS\sbinet.ini
[2008.03.14 16:23:57 | 000,000,025 | ---- | C] () -- C:\WINDOWS\skat24.ini
[2008.03.14 16:23:09 | 001,201,206 | ---- | C] () -- C:\WINDOWS\System32\KART24GF.DLL
[2008.03.14 16:23:09 | 001,201,206 | ---- | C] () -- C:\WINDOWS\System32\Kart24gd.dll
[2007.11.26 21:56:28 | 000,151,415 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2007.06.27 16:56:12 | 000,001,088 | ---- | C] () -- C:\WINDOWS\UnitConverter.INI
[2007.03.08 02:04:24 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\psfind.dll
[2006.12.19 16:56:38 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2006.09.09 20:20:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\swunilog.ini
[2006.08.03 04:29:26 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2006.08.03 04:29:25 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2006.08.03 04:27:00 | 000,004,096 | ---- | C] () -- C:\WINDOWS\gdrv.sys
[2006.08.03 00:18:54 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.08.03 00:15:27 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.08.02 23:54:46 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini
[2006.08.02 22:49:20 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\asfrench.dll
[2006.08.02 22:49:20 | 000,046,080 | ---- | C] () -- C:\WINDOWS\System32\asrussian.dll
[2006.08.02 22:49:20 | 000,046,080 | ---- | C] () -- C:\WINDOWS\System32\asgerman.dll
[2006.08.02 22:49:20 | 000,046,080 | ---- | C] () -- C:\WINDOWS\System32\aseng.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\askorean.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\asjapan.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\ASCHT.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\aschs.dll
[2006.08.02 22:49:20 | 000,010,496 | ---- | C] () -- C:\WINDOWS\System32\ATKOSDMini.DLL
[2006.08.02 22:49:20 | 000,000,018 | ---- | C] () -- C:\WINDOWS\System32\atkid.ini
[2006.03.09 09:29:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.03.09 09:29:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[2003.08.07 21:01:50 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2002.03.25 20:02:14 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001.08.18 21:00:00 | 000,000,009 | ---- | C] () -- C:\WINDOWS\System32\comsats.sys
< End of report >

--- --- ---

Habs noch ein paar mal versucht, also die Extras.txt muss ich wohl anhängen.

Vielen lieben Dank, bis hoffentlich morgen!
Jet

19.07.2010, 17:45

Hallo,
ich habe brav 3 Tage gewartet und wollte jetzt im "Erinnerung an meinen Thread" posten. Dort habe ich aber keine Berechtigung, es kommt die Meldung ich könne nicht in fremde Threads posten.

Daher hier nochmal die Bitte um Hilfe. Ich habe nach wie vor mit dem Antimalware-Doctor und der Antivirus Suite zu kämpfen. Beide starten sofort nachdem Windows gestartet ist. Über den Task Manager lassen sich die Programme beenden, tauchen nach einer Weile aber wieder auf. Mit Malwarebytes funktioniert die Erkennung, aber leider nicht die dauerhafte Entfernung. Für Combofix oder ähnliches brauche ich jemanden der Ahnung hat.

Es wäre super, wenn sich das noch jemand anschauen könnte.

Jet

Larusso · 19.07.2010, 17:49

Sorry, uns wächst die Arbeit gerade über den Kopf.

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Entferne rechts den Haken bei
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
Gmer.txt
OTL.txt

19.07.2010, 19:39

Hi, vielen vielen Dank!

Es gibt aber ein Problem: Ich starte GMER (Netz und Virenscanner aus), beantworte die Warnung mit "Nein", entferne die Häkchen und starte den Scan
-> der Computer wird neu gestartet (nach ca 1 Sekunde)!
Einziger Unterschied nach dem Neustart: Ich muss den explorer manuell ausführen, dann ist aber alles wie gehabt (inkl. Malware) und die Schrift im Task-Manager ist grösser.

Hab das ganze jetzt zweimal probiert->gleiches Ergebnis

Larusso · 19.07.2010, 19:46

und die logfile ?

19.07.2010, 20:03

Die OTL.txt muss ich aufteilen:

Zitat:

OTL logfile created on: 19.07.2010 20:51:39 - Run 2
OTL by OldTimer - Version 3.2.9.0 Folder = C:\Dokumente und Einstellungen\*\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 268,00 Mb Available Physical Memory | 52,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 5,38 Gb Free Space | 27,56% Space Free | Partition Type: NTFS
Drive D: | 11,72 Gb Total Space | 1,46 Gb Free Space | 12,48% Space Free | Partition Type: NTFS
Drive E: | 32,16 Gb Total Space | 9,54 Gb Free Space | 29,66% Space Free | Partition Type: FAT32
Drive F: | 32,31 Gb Total Space | 1,64 Gb Free Space | 5,07% Space Free | Partition Type: FAT32
Drive G: | 259,95 Gb Total Space | 6,04 Gb Free Space | 2,32% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: *
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Minimal
Quick Scan

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\*\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\ATKKBService.exe (ASUSTeK COMPUTER INC.)
PRC - C:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\*\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

========== Win32 Services (SafeList) ==========

SRV - (VTingWinIe) -- C:\WINDOWS\System32\drivers\svchost.exe File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (DAUpdaterSvc) -- G:\Spiele\Dragon Age\bin_ship\daupdatersvc.service.exe (BioWare)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (ATKKeyboardService) -- C:\WINDOWS\ATKKBService.exe (ASUSTeK COMPUTER INC.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (gdrv) -- C:\WINDOWS\gdrv.sys ()
DRV - (EIO) -- C:\WINDOWS\system32\drivers\EIO.sys (ASUSTeK Computer Inc.)
DRV - (asuskbnt) -- C:\WINDOWS\system32\drivers\atkkbnt.sys (ASUSTeK COMPUTER INC.)
DRV - (nvraid) NVIDIA nForce(tm) -- C:\WINDOWS\System32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nvatabus) -- C:\WINDOWS\System32\DRIVERS\nvatabus.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (SIS163u) -- C:\WINDOWS\system32\drivers\sis163u.sys (SiS Corporation)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (WlanUIB) -- C:\WINDOWS\system32\drivers\MA111nd5.sys ( )
DRV - (d347prt) -- C:\WINDOWS\System32\Drivers\d347prt.sys ( )
DRV - (d347bus) -- C:\WINDOWS\system32\DRIVERS\d347bus.sys ( )
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (irsir) -- C:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"

FF - HKLM\software\mozilla\Mozilla Firefox 1.5.0.12\Extensions\\Components: C:\Programme\Mozilla Firefox\components\ [2010.07.15 21:35:58 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 1.5.0.12\Extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins\ [2009.11.22 21:40:23 | 000,000,000 | ---D | M]

[2010.07.19 20:09:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\bqepw6mf.default\extensions
[2009.09.20 14:00:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\bqepw6mf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.07.19 20:09:53 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.13 19:33:52 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2009.11.22 21:40:20 | 000,061,038 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jar50.dll
[2009.11.22 21:40:20 | 000,049,256 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jsd3250.dll
[2009.11.22 21:40:20 | 000,166,000 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\xpinstal.dll
[2006.08.04 20:32:35 | 000,000,680 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazon-de.png
[2006.08.04 20:32:35 | 000,000,804 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazon-de.src
[2006.08.04 20:32:35 | 000,000,210 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.gif
[2006.08.04 20:32:35 | 000,001,075 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.src
[2006.08.04 20:32:35 | 000,001,076 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-de.gif
[2006.08.04 20:32:35 | 000,000,879 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-de.src
[2006.08.04 20:32:35 | 000,000,232 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.png
[2006.08.04 20:32:35 | 000,001,157 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.src
[2006.08.04 20:32:35 | 000,000,088 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.gif
[2006.08.04 20:32:35 | 000,001,147 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.src

O1 HOSTS File: ([2010.07.16 21:28:21 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (moigh Object) - {98CE52D2-BC6F-4B9C-8111-017721C5A3E1} - C:\WINDOWS\system32\tdpsp.dll ()
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (adShotHlpr Object) - {E3F6B8DA-2FAD-4278-9235-F9B3E7D8A859} - C:\WINDOWS\system32\xdpsp.dll ()
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [MChk] C:\WINDOWS\system32\kdpsp.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [srjjqupp] C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\xmcevptgg\atprtiotssd.exe ()
O4 - HKLM..\Run: [sta] C:\WINDOWS\System32\xdpsp.dll ()
O4 - HKCU..\Run: [{8D73EDC9-3D96-367A-270C-1F7B7D22196C}] C:\Dokumente und Einstellungen\*\Anwendungsdaten\Axyw\awboe.exe ()
O4 - HKCU..\Run: [070700Setup.exe] C:\Dokumente und Einstellungen\*\Anwendungsdaten\50E33F74449773EC236437DEBE5623CE\070700Setup.exe (MS)
O4 - HKCU..\Run: [srjjqupp] C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\xmcevptgg\atprtiotssd.exe ()
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart\Antimalware Doctor.lnk = C:\Dokumente und Einstellungen\*\Anwendungsdaten\50E33F74449773EC236437DEBE5623CE\070700Setup.exe (MS)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (acaptuser32.dll) - C:\WINDOWS\System32\acaptuser32.dll (Adobe Systems, Inc.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.08.03 04:21:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.04.17 19:29:09 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{a17dc396-6757-11df-b202-00148530d979}\Shell - "" = AutoRun
O33 - MountPoints2\{a17dc396-6757-11df-b202-00148530d979}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a17dc396-6757-11df-b202-00148530d979}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -- File not found
O33 - MountPoints2\{ba0330cc-61cc-11de-b001-00148530d979}\Shell - "" = AutoRun
O33 - MountPoints2\{ba0330cc-61cc-11de-b001-00148530d979}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\J\Shell - "" = AutoRun
O33 - MountPoints2\J\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\LaunchU3.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
Unable to start service SrService!

19.07.2010, 20:05

hier geht's weiter:

Zitat:

========== Files/Folders - Created Within 90 Days ==========

[2010.07.18 21:29:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\xmcevptgg
[2010.07.16 22:14:41 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*\Desktop\OTL.exe
[2010.07.16 22:05:28 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*\Recent
[2010.07.16 22:00:37 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.07.16 21:58:35 | 003,396,176 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\*\Desktop\ccsetup233.exe
[2010.07.16 21:38:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.07.16 21:10:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Avira
[2010.07.16 21:03:43 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.07.16 21:03:43 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.07.16 21:03:43 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.07.16 21:03:43 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.07.16 21:03:43 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.07.16 21:03:42 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.07.16 21:03:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.07.16 20:48:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Malwarebytes
[2010.07.16 20:12:00 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.16 20:11:58 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.16 20:11:58 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.16 20:11:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.15 20:50:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Street-Ads
[2010.07.15 20:50:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sky-Banners
[2010.07.15 20:49:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\qgdddmeqv
[2010.07.15 20:47:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\50E33F74449773EC236437DEBE5623CE
[2010.07.01 08:15:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sasui
[2010.05.24 19:13:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\U3
[2010.05.17 20:36:17 | 000,020,992 | ---- | C] (Realtek Semiconductor Corporation) -- C:\WINDOWS\System32\drivers\RTL8139.sys
[2010.05.17 20:36:17 | 000,020,992 | ---- | C] (Realtek Semiconductor Corporation) -- C:\WINDOWS\System32\dllcache\rtl8139.sys
[2006.11.03 23:05:14 | 000,666,624 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\MA111nd5.sys
[2006.08.02 22:43:28 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2006.08.02 22:43:28 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 90 Days ==========

[2010.07.19 20:54:21 | 000,565,280 | ---- | M] () -- C:\WINDOWS\System32\drivers\rihitl.sys
[2010.07.19 20:54:19 | 000,768,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\sujcm.sys
[2010.07.19 20:32:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.19 20:26:58 | 000,267,361 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.07.19 20:26:09 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.07.19 20:25:38 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.19 20:25:26 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.07.19 20:24:41 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.19 20:24:35 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.19 20:11:14 | 008,388,608 | ---- | M] () -- C:\Dokumente und Einstellungen\*\ntuser.dat
[2010.07.19 20:06:43 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\hjvi1igm.exe
[2010.07.19 14:50:40 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\*\ntuser.ini
[2010.07.19 14:50:38 | 000,002,702 | ---- | M] () -- C:\WINDOWS\lsrslt.ini
[2010.07.19 14:43:01 | 000,000,049 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.07.18 22:23:31 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.18 21:29:50 | 000,001,197 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
[2010.07.18 21:29:50 | 000,001,185 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Antimalware Doctor.lnk
[2010.07.18 21:29:39 | 000,000,150 | ---- | M] () -- C:\zrpt.xml
[2010.07.18 19:24:18 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.16 22:14:45 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*\Desktop\OTL.exe
[2010.07.16 22:13:13 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221309.reg
[2010.07.16 22:13:00 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221255.reg
[2010.07.16 22:12:44 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221241.reg
[2010.07.16 22:12:33 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221230.reg
[2010.07.16 22:12:21 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221218.reg
[2010.07.16 22:12:07 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221204.reg
[2010.07.16 22:11:51 | 000,000,498 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221144.reg
[2010.07.16 22:11:24 | 000,001,424 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221118.reg
[2010.07.16 22:10:49 | 000,094,342 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221015.reg
[2010.07.16 22:00:39 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\CCleaner.lnk
[2010.07.16 21:58:40 | 003,396,176 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\*\Desktop\ccsetup233.exe
[2010.07.16 21:35:27 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\rkill.com
[2010.07.16 21:03:54 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.07.16 20:58:13 | 004,315,748 | -H-- | M] () -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.16 06:06:20 | 000,246,784 | ---- | M] () -- C:\WINDOWS\System32\tdpsp.dll
[2010.07.16 06:06:04 | 000,294,912 | ---- | M] () -- C:\WINDOWS\System32\xdpsp.dll
[2010.07.15 20:49:01 | 000,040,960 | ---- | M] () -- C:\WINDOWS\System32\userinit.exe
[2010.07.14 02:43:22 | 000,040,581 | ---- | M] () -- C:\WINDOWS\System32\kdpsp.exe
[2010.07.01 22:41:29 | 000,088,587 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\olga2.jpg
[2010.07.01 22:41:16 | 000,104,355 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\olga1.jpg
[2010.07.01 22:40:58 | 000,044,679 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Route.jpg
[2010.07.01 22:40:03 | 000,085,802 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\*1.jpg
[2010.07.01 22:39:48 | 000,100,549 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\*2.jpg
[2010.06.28 21:16:00 | 000,162,434 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\pdf-preview.png
[2010.06.27 00:11:02 | 001,025,112 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.27 00:11:02 | 000,459,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.27 00:11:02 | 000,441,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.27 00:11:02 | 000,084,524 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.27 00:11:02 | 000,071,196 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.23 14:04:27 | 000,000,169 | ---- | M] () -- C:\WINDOWS\RtlRack.ini
[2010.06.12 00:10:48 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2010.06.11 22:49:38 | 000,043,008 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Urlaub.doc
[2010.06.11 17:57:33 | 000,125,320 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.05.30 19:37:49 | 000,016,233 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\RNAhybrid - Results.pdf
[2010.05.21 16:29:05 | 000,186,685 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\1814460a.pdf
[2010.05.16 21:34:19 | 000,001,887 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.05.13 18:47:14 | 000,318,828 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Ausschreibung_Paklenica_Bernd_Alex_Ostern.pdf
[2010.05.06 21:01:30 | 000,027,128 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\psin2-glass.pdf
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.28 22:08:01 | 034,296,408 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Masterarbeit word 0 1 2 kommentiert.zip
[2010.04.28 22:05:52 | 019,397,120 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Versuchsergebnisse und Diskussion Teil 2 kommentiert.doc
[2010.04.28 21:03:20 | 016,218,624 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Versuchsergebnisse und Diskussion Teil 1 kommentiert.doc
[2010.04.28 20:26:56 | 013,684,224 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Versuchsergebnisse und Diskussion Teil 0 kommentiert.doc
[2010.04.27 15:38:56 | 000,010,340 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Bewerbungen.pdf
[2010.04.26 20:23:48 | 000,101,631 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\pk_vertrag.pdf
[2010.04.25 21:54:05 | 001,744,282 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\DTFB Challenger B Berlin 05-2010.pdf
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.07.19 20:06:47 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\hjvi1igm.exe
[2010.07.18 21:29:50 | 000,001,197 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
[2010.07.18 21:29:49 | 000,001,185 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Antimalware Doctor.lnk
[2010.07.16 22:13:11 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221309.reg
[2010.07.16 22:12:56 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221255.reg
[2010.07.16 22:12:43 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221241.reg
[2010.07.16 22:12:31 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221230.reg
[2010.07.16 22:12:20 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221218.reg
[2010.07.16 22:12:05 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221204.reg
[2010.07.16 22:11:47 | 000,000,498 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221144.reg
[2010.07.16 22:11:21 | 000,001,424 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221118.reg
[2010.07.16 22:10:23 | 000,094,342 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\cc_20100716_221015.reg
[2010.07.16 22:00:39 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\CCleaner.lnk
[2010.07.16 21:35:32 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\rkill.com
[2010.07.16 21:23:59 | 000,002,702 | ---- | C] () -- C:\WINDOWS\lsrslt.ini
[2010.07.16 21:03:54 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.07.16 06:06:20 | 000,246,784 | ---- | C] () -- C:\WINDOWS\System32\tdpsp.dll
[2010.07.16 06:06:04 | 000,294,912 | ---- | C] () -- C:\WINDOWS\System32\xdpsp.dll
[2010.07.15 20:50:14 | 000,565,280 | ---- | C] () -- C:\WINDOWS\System32\drivers\rihitl.sys
[2010.07.15 20:49:56 | 000,768,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\sujcm.sys
[2010.07.15 20:49:36 | 000,000,150 | ---- | C] () -- C:\zrpt.xml
[2010.07.15 20:49:27 | 000,000,000 | R--- | C] () -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\BKCmI.txt
[2010.07.14 02:43:22 | 000,040,581 | ---- | C] () -- C:\WINDOWS\System32\kdpsp.exe
[2010.07.01 22:41:29 | 000,088,587 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\olga2.jpg
[2010.07.01 22:41:16 | 000,104,355 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\olga1.jpg
[2010.07.01 22:40:03 | 000,085,802 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\*1.jpg
[2010.07.01 22:39:47 | 000,100,549 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\*2.jpg
[2010.06.28 21:16:00 | 000,162,434 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\pdf-preview.png
[2010.06.23 14:04:27 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2010.06.04 22:59:54 | 000,043,008 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Urlaub.doc
[2010.05.30 19:37:49 | 000,016,233 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\RNAhybrid - Results.pdf
[2010.05.21 16:29:06 | 000,186,685 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\1814460a.pdf
[2010.05.16 21:34:19 | 000,001,887 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.05.13 18:47:14 | 000,318,828 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Ausschreibung_Paklenica_Bernd_Alex_Ostern.pdf
[2010.05.06 21:01:32 | 000,027,128 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\psin2-glass.pdf
[2010.04.28 22:07:53 | 034,296,408 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Masterarbeit word 0 1 2 kommentiert.zip
[2010.04.28 22:05:49 | 019,397,120 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Versuchsergebnisse und Diskussion Teil 2 kommentiert.doc
[2010.04.28 20:48:43 | 016,218,624 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Versuchsergebnisse und Diskussion Teil 1 kommentiert.doc
[2010.04.27 23:05:16 | 013,684,224 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Versuchsergebnisse und Diskussion Teil 0 kommentiert.doc
[2010.04.27 15:39:01 | 000,010,340 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\Bewerbungen.pdf
[2010.04.26 20:23:55 | 000,101,631 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\pk_vertrag.pdf
[2010.04.25 21:54:05 | 001,744,282 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\DTFB Challenger B Berlin 05-2010.pdf
[2009.06.26 01:38:16 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.06.26 01:38:16 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2008.10.25 21:09:53 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.03.14 16:23:57 | 000,000,027 | ---- | C] () -- C:\WINDOWS\sbinet.ini
[2008.03.14 16:23:57 | 000,000,025 | ---- | C] () -- C:\WINDOWS\skat24.ini
[2008.03.14 16:23:09 | 001,201,206 | ---- | C] () -- C:\WINDOWS\System32\KART24GF.DLL
[2008.03.14 16:23:09 | 001,201,206 | ---- | C] () -- C:\WINDOWS\System32\Kart24gd.dll
[2007.11.26 21:56:28 | 000,151,415 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2007.06.27 16:56:12 | 000,001,088 | ---- | C] () -- C:\WINDOWS\UnitConverter.INI
[2007.03.08 02:04:24 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\psfind.dll
[2006.12.19 16:56:38 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2006.09.09 20:20:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\swunilog.ini
[2006.08.03 04:29:26 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2006.08.03 04:29:25 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2006.08.03 04:27:00 | 000,004,096 | ---- | C] () -- C:\WINDOWS\gdrv.sys
[2006.08.03 00:18:54 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.08.03 00:15:27 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.08.02 23:54:46 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini
[2006.08.02 22:49:20 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\asfrench.dll
[2006.08.02 22:49:20 | 000,046,080 | ---- | C] () -- C:\WINDOWS\System32\asrussian.dll
[2006.08.02 22:49:20 | 000,046,080 | ---- | C] () -- C:\WINDOWS\System32\asgerman.dll
[2006.08.02 22:49:20 | 000,046,080 | ---- | C] () -- C:\WINDOWS\System32\aseng.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\askorean.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\asjapan.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\ASCHT.dll
[2006.08.02 22:49:20 | 000,045,568 | ---- | C] () -- C:\WINDOWS\System32\aschs.dll
[2006.08.02 22:49:20 | 000,010,496 | ---- | C] () -- C:\WINDOWS\System32\ATKOSDMini.DLL
[2006.08.02 22:49:20 | 000,000,018 | ---- | C] () -- C:\WINDOWS\System32\atkid.ini
[2006.03.09 09:29:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.03.09 09:29:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[2003.08.07 21:01:50 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2002.03.25 20:02:14 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001.08.18 21:00:00 | 000,000,009 | ---- | C] () -- C:\WINDOWS\System32\comsats.sys

19.07.2010, 20:14

Puh, so ganz versteh ich noch nicht, wann hier ein Zitat zu lang ist...

Zitat:

========== LOP Check ==========

[2009.12.29 16:59:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BioWare
[2009.08.16 17:37:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fallout3
[2010.07.18 21:29:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\50E33F74449773EC236437DEBE5623CE
[2010.07.19 20:11:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Abkau
[2008.06.19 00:41:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Axyw
[2010.07.18 19:24:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Efzaho
[2010.04.03 16:11:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\ImgBurn
[2009.07.20 21:20:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\IrfanView
[2010.07.01 08:15:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sasui
[2010.07.15 20:50:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sky-Banners
[2010.07.15 20:50:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Street-Ads
[2009.06.26 03:45:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Tilted Mill
[2009.11.17 19:43:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Ubisoft
[2010.07.18 21:33:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\uTorrent
[2010.07.19 20:26:09 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job

========== Purity Check ==========

========== Custom Scans ==========

< %SYSTEMDRIVE%\*.* >
[2006.08.03 04:21:37 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2006.08.03 04:29:20 | 000,000,211 | RHS- | M] () -- C:\boot.ini
[2001.08.18 21:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2006.08.03 04:21:37 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2006.08.03 04:30:30 | 000,000,032 | ---- | M] () -- C:\csb.log
[2006.08.03 04:21:37 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2006.08.03 04:21:37 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2006.08.02 22:33:05 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2006.08.02 22:33:05 | 000,251,184 | RHS- | M] () -- C:\ntldr
[2010.07.19 20:24:32 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys
[2010.07.19 20:27:52 | 000,000,477 | ---- | M] () -- C:\rkill.log
[2010.07.18 21:29:39 | 000,000,150 | ---- | M] () -- C:\zrpt.xml

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2006.08.03 06:12:51 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2006.08.03 06:12:51 | 000,630,784 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2006.08.03 06:12:51 | 000,421,888 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

19.07.2010, 20:19

hier geht's weiter:

Zitat:

< %systemroot%\system32\drivers\*.sys /90 >
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbam.sys
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
[2010.07.19 20:55:33 | 000,565,280 | ---- | M] () -- C:\WINDOWS\system32\drivers\rihitl.sys
[2010.07.19 20:55:32 | 000,768,000 | ---- | M] () -- C:\WINDOWS\system32\drivers\sujcm.sys

< %systemroot%\system32\user32.dll /md5 >
[2005.03.02 20:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\system32\ws2_32.dll /md5 >
[2004.08.04 00:57:40 | 000,082,944 | ---- | M] (Microsoft Corporation) MD5=D569240A22421D5F670BB6FB6DD522B5 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

19.07.2010, 20:26

12345678910

Zitat:

< %systemroot%\system32\ws2help.dll /md5 >
[2004.08.04 00:57:40 | 000,019,968 | ---- | m] (microsoft corporation) md5=b3ada72d1e3e10a8f6430669dfc38ed0 -- c:\windows\system32\ws2help.dll
[1 c:\windows\system32\*.tmp files -> c:\windows\system32\*.tmp -> ]

19.07.2010, 20:31

Sorry für die vielen Postings. Jetzt lässt er mich gar nichts mehr zitieren. Ist das eine Art Spamschutz?

Larusso · 19.07.2010, 20:42

Ja, ich brauche die GMER Logfile auch

Lade die Logfile bitte bei File-Upload.net hoch und poste mir den Downloadlink.

19.07.2010, 20:50

Beim GMER-Scan hat sich der PC nach 1 Sekunde neu gestartet... da gibt es keinen Logfile. Hab's 2x versucht

Hier der Link zur OTL.txt:
hxxp://www.file-upload.net/download-2684410/OTL.Txt.html

19.07.2010, 19:46	#7
Larusso /// Selecta Jahrusso	Animalware-Doctor überlebt Malwarebytes und Avira AntiVir und die logfile ? __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

19.07.2010, 20:31	#13
Jet Gast	Animalware-Doctor überlebt Malwarebytes und Avira AntiVir Sorry für die vielen Postings. Jetzt lässt er mich gar nichts mehr zitieren. Ist das eine Art Spamschutz?

19.07.2010, 20:50	#15
Jet Gast	Animalware-Doctor überlebt Malwarebytes und Avira AntiVir Beim GMER-Scan hat sich der PC nach 1 Sekunde neu gestartet... da gibt es keinen Logfile. Hab's 2x versucht Hier der Link zur OTL.txt: hxxp://www.file-upload.net/download-2684410/OTL.Txt.html

Animalware-Doctor überlebt Malwarebytes und Avira AntiVir

Plagegeister aller Art und deren Bekämpfung: Animalware-Doctor überlebt Malwarebytes und Avira AntiVir