Ich muss seit ein paar Tagen länger als sonst warten, bis ich mich bei Windows XP überhaupt anmelden kann. Wartezeit nach "Windows wird gestartet" deutlich länger als sonst.

MBAM hat in einem ersten Durchgang 5 mal Malware erkannt, die ich auch entfernt habe.

Das hat die Wartezeit nicht verkürzt, leider. Malwarebytes erkennt in einem zweiten Durchgang nichts mehr. Wie kann ich sicher sein, dass da nicht doch noch ein Schädling haust?

Hier das letzte Mlawarebytes-Log.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4376

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.08.2010 14:24:42
mbam-log-2010-08-01 (14-24-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 145722
Laufzeit: 7 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


-----

Und dies war das Log nach dem ersten Durchgang:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4376

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.08.2010 13:42:23
mbam-log-2010-08-01 (13-42-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146024
Laufzeit: 7 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
• Belasse die Häckchen wie sie sind.
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.
• Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Danke! Zur Anleitung im Ordner MFTools: Wo finde ich denn erunt-setup.exe ? In dem Ordner ist sie nicht.

Starte load.exe erneut, entferne überall den Hacken ausser bei ERUNT

Malwarebytes Update abbrechen und TFC einfach schließen wenn es sich öffnet.

dann sollte die setup.exe vorhanden sein

Hier sind die Logs. Gmer.zip hatte ich nicht, daher von dort auch kein Log. Übrigens hat sich die Wartezeit vor der Anmeldung doch wieder auf normales Maß reduziert: Vielleicht hat also die erste Beseitigung mit Malwarebytes doch schon geholfen. Ich bin dennoch sehr dankbar, wenn Du auf die Logs noch mal ein Auge wirfst.
Danke für die Hilfe

Schritt 1

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.

Poste mal die OTL Log wie oben beschrieben

Danke, das hier sit der OTL-Log.

OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 09.08.2010 15:28:50 - Run 2
OTL by OldTimer - Version 3.2.9.1     Folder = E:\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 73,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 2048 4048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 0,65 Gb Free Space | 3,35% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 465,65 Gb Total Space | 30,23 Gb Free Space | 6,49% Space Free | Partition Type: FAT32
Drive F: | 54,99 Gb Total Space | 54,92 Gb Free Space | 99,87% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive P: | 67,75 Gb Total Space | 47,36 Gb Free Space | 69,91% Space Free | Partition Type: NTFS
 
Computer Name: BSE-ED-NB-06
Current User Name: Ebeling
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rpcnet\Bin\rpcld.exe File not found
PRC - E:\Downloads\OTL(2).exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\dpa\StarSystem\Star_Ed\STAR_ED.EXE (dpa)
PRC - C:\Programme\McAfee\Common Framework\naPrdMgr.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\Common Framework\UdaterUI.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\Common Framework\FrameworkService.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\Common Framework\McTray.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\VirusScan Enterprise\shstat.exe (McAfee, Inc.)
PRC - C:\WINDOWS\system32\mfevtps.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\VirusScan Enterprise\mfeann.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe (McAfee, Inc.)
PRC - E:\OTR-Tools\2009Decoder.exe (Superfirm)
PRC - C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\WINDOWS\system32\rpcnet.exe (Absolute Software Corp.)
PRC - E:\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
PRC - C:\Programme\DellTPad\Apoint.exe (Alps Electric Co., Ltd.)
PRC - C:\Programme\DellTPad\ApntEx.exe (Alps Electric Co., Ltd.)
PRC - C:\Programme\DellTPad\ApMsgFwd.exe (Alps Electric Co., Ltd.)
PRC - C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\stacsv.exe (SigmaTel, Inc.)
PRC - C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.)
PRC - C:\WINDOWS\system32\bmwebcfg.exe (Bytemobile, Inc.)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - C:\Programme\DellTPad\hidfind.exe (Alps Electric Co., Ltd.)
PRC - C:\Programme\IPSec Client\lucentikesvc.exe ()
PRC - C:\Programme\IPSec Client\lucentike.exe ()
PRC - C:\Programme\dpa\StarSystem\Star_Fb\bin\fbguard.exe (The Firebird Project)
PRC - C:\Programme\dpa\StarSystem\Star_Fb\bin\fbserver.exe (The Firebird Project)
PRC - C:\Programme\UltraVNC\winvnc.exe (UltraVNC)
 
 
========== Modules (SafeList) ==========
 
MOD - E:\Downloads\OTL(2).exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (rpcld) Remote Procedure Call (RPC) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rpcnet\Bin\rpcld.exe File not found
SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (aspnet_state) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation)
SRV - (WPFFontCache_v0400) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (McAfeeFramework) -- C:\Programme\McAfee\Common Framework\FrameworkService.exe (McAfee, Inc.)
SRV - (McShield) -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe (McAfee, Inc.)
SRV - (mfevtp) -- C:\WINDOWS\system32\mfevtps.exe (McAfee, Inc.)
SRV - (McTaskManager) -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe (McAfee, Inc.)
SRV - (McAfeeEngineService) -- C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe (McAfee, Inc.)
SRV - (DWMRCS) -- C:\WINDOWS\System32\DWRCS.EXE (DameWare Development LLC)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (rpcnet) Remote Procedure Call (RPC) -- C:\WINDOWS\system32\rpcnet.exe (Absolute Software Corp.)
SRV - (STAR_IndexSrv) -- C:\Programme\dpa\StarSystem\Star_Db\Star_Ind\STAR_Indexer.exe ()
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia.)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (NMSAccessU) -- E:\CDBurnerXP\NMSAccessU.exe ()
SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (WLANKEEPER) Intel(R) -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe (Intel Corporation)
SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (STacSV) -- C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\stacsv.exe (SigmaTel, Inc.)
SRV - (bmwebcfg) -- C:\WINDOWS\System32\bmwebcfg.exe (Bytemobile, Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (LucentIKE) -- C:\Programme\IPSec Client\lucentikesvc.exe ()
SRV - (FirebirdGuardianDefaultInstance) -- C:\Programme\dpa\StarSystem\Star_Fb\bin\fbguard.exe (The Firebird Project)
SRV - (FirebirdServerDefaultInstance) -- C:\Programme\dpa\StarSystem\Star_Fb\bin\fbserver.exe (The Firebird Project)
SRV - (FirebirdServerMAGIXInstance) -- E:\Programme\Common\Database\bin\fbserver.exe (MAGIX®)
SRV - (winvnc) -- C:\Programme\UltraVNC\WinVNC.exe (UltraVNC)
SRV - (OracleClientCache80) -- C:\orant\BIN\ONRSD80.EXE ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (mferkdk) -- C:\Programme\McAfee\VirusScan Enterprise\mferkdk.sys File not found
DRV - (massfilter) -- C:\WINDOWS\System32\drivers\massfilter.sys File not found
DRV - (mfehidk) -- C:\WINDOWS\system32\drivers\mfehidk.sys (McAfee, Inc.)
DRV - (mfeavfk) -- C:\WINDOWS\system32\drivers\mfeavfk.sys (McAfee, Inc.)
DRV - (mfeapfk) -- C:\WINDOWS\system32\drivers\mfeapfk.sys (McAfee, Inc.)
DRV - (mferkdet) -- C:\WINDOWS\system32\drivers\mferkdet.sys (McAfee, Inc.)
DRV - (mfetdik) -- C:\WINDOWS\system32\drivers\mfetdik.sys (McAfee, Inc.)
DRV - (mfebopk) -- C:\WINDOWS\system32\drivers\mfebopk.sys (McAfee, Inc.)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (guardian2) -- C:\WINDOWS\system32\drivers\oz776.sys (O2Micro)
DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (fxusbase) -- C:\WINDOWS\system32\drivers\fxusbase.sys (AVM Berlin)
DRV - (AVMCOWAN) -- C:\WINDOWS\system32\drivers\avmcowan.sys (AVM GmbH)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)
DRV - (tcpipBM) -- C:\WINDOWS\System32\drivers\tcpipBM.sys (Bytemobile, Inc.)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (dwvkbd) -- C:\WINDOWS\system32\drivers\dwvkbd.sys (DameWare)
DRV - (DwMirror) -- C:\WINDOWS\system32\drivers\DamewareMini.sys (DameWare Development, LLC)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (LuIPSec) -- C:\WINDOWS\system32\drivers\luipsec.sys (Lucent Technologies)
DRV - (vncdrv) -- C:\WINDOWS\system32\drivers\vncdrv.sys (RDV Soft)
DRV - (vnccom) -- C:\WINDOWS\system32\drivers\vnccom.SYS (RDV Soft)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs LLC)
DRV - (VNUSB) -- C:\WINDOWS\system32\drivers\VNUSB.sys (OLYMPUS OPTICAL CO.,LTD.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.dpa.de/intranet/generator/id=1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8
FF - prefs.js..extensions.enabledItems: {ca0849e8-2c76-42ae-9abe-34e14d337acf}:1.91
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.63
FF - prefs.js..network.proxy.autoconfig_url: "hxxp://proxyconf.dpa.com/proxy.pac"
FF - prefs.js..network.proxy.type: 2
 
FF - HKLM\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2009.04.24 14:37:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.29 14:38:17 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.29 14:38:18 | 000,000,000 | ---D | M]
 
[2009.04.23 15:49:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ebeling\Anwendungsdaten\Mozilla\Extensions
[2010.08.08 18:41:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ebeling\Anwendungsdaten\Mozilla\Firefox\Profiles\xai4ohxn.default\extensions
[2010.07.29 13:51:19 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\ebeling\Anwendungsdaten\Mozilla\Firefox\Profiles\xai4ohxn.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.05.21 09:42:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ebeling\Anwendungsdaten\Mozilla\Firefox\Profiles\xai4ohxn.default\extensions\{ca0849e8-2c76-42ae-9abe-34e14d337acf}
[2010.06.23 11:17:20 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\ebeling\Anwendungsdaten\Mozilla\Firefox\Profiles\xai4ohxn.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.04.30 15:03:32 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.08.31 20:07:00 | 000,023,864 | ---- | M] (McAfee, Inc.) -- C:\Programme\Mozilla Firefox\components\Scriptff.dll
[2010.07.29 14:38:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.29 14:38:14 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.29 14:38:14 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.29 14:38:14 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.29 14:38:14 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)
O4 - HKLM..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe (Alps Electric Co., Ltd.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\McAfee\Common Framework\udaterui.exe (McAfee, Inc.)
O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.)
O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC)
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\Wcescomm.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{A7091E1D-36A4-47F1-A739-173CC341414F}\Icon3E5562ED7.ico ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceStartMenuLogOff = 1
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1268217220156 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1268217206765 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} https://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab (IPSUploader4 Control)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 193.96.105.232 193.96.105.233
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dpa.com
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ebeling\Lokale Einstellungen\Temp\BGInfo.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.23 10:22:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.05.06 22:31:36 | 000,000,100 | ---- | M] () - E:\AUTORUN.INF -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: VIDC.MP42 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation)
Drivers32: VIDC.MPG4 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (17183584330711040)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.09 08:23:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.08.08 18:26:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ebeling\Eigene Dateien\AirSimmer Files
[2010.08.05 11:21:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.08.05 11:20:18 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010.08.05 11:09:26 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ebeling\Recent
[2010.08.04 13:47:13 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Silverlight
[2010.08.04 13:46:44 | 006,259,064 | ---- | C] (Microsoft Corporation) -- C:\Silverlight.exe
[2010.08.02 13:58:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ebeling\Desktop\MFTools
[2010.08.01 13:29:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ebeling\Anwendungsdaten\Malwarebytes
[2010.08.01 13:29:31 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.08.01 13:29:29 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.08.01 13:29:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.08.01 13:29:28 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.01 13:28:56 | 006,153,376 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\mbam-setup-1.46.exe
[2010.07.29 19:37:07 | 000,000,000 | ---D | C] -- C:\Airbus_doc_v1.0
[2010.07.28 11:04:08 | 000,070,728 | ---- | C] (McAfee, Inc.) -- C:\WINDOWS\System32\mfevtps.exe
[2010.07.28 11:04:08 | 000,065,448 | ---- | C] (McAfee, Inc.) -- C:\WINDOWS\System32\drivers\mferkdet.sys
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.09 15:26:27 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.08.09 08:19:16 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2010.08.09 08:19:07 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.09 08:18:42 | 000,017,408 | ---- | M] () -- C:\WINDOWS\System32\rpcnetp.exe
[2010.08.09 08:18:40 | 000,056,680 | ---- | M] (Absolute Software Corp.) -- C:\WINDOWS\System32\rpcnet.dll
[2010.08.09 08:18:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.08 22:30:08 | 009,699,328 | -H-- | M] () -- C:\Dokumente und Einstellungen\ebeling\NTUSER.DAT
[2010.08.08 22:30:01 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\ebeling\ntuser.ini
[2010.08.08 19:32:45 | 111,966,392 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\Cruise on the canal de la Marne au Rhin - 2009.mp4
[2010.08.06 17:47:23 | 000,122,880 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.05 13:56:14 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\62s2d4rx.exe
[2010.08.05 11:20:19 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\NTREGOPT.lnk
[2010.08.05 11:20:19 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\ERUNT.lnk
[2010.08.05 10:08:32 | 001,464,969 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\COIN Strategy 1 8 10.pdf
[2010.08.05 10:07:21 | 013,729,792 | ---- | M] () -- C:\Black_Hawk_Down_10.08.04_22-40_kabel1_155_TVOON_DE.mpg.avi.otrkey
[2010.08.05 10:05:31 | 455,928,384 | ---- | M] () -- C:\Black_Hawk_Down_10.08.04_22-40_kabel1_155_TVOON_DE.mpg.avi.otrkey.part
[2010.08.04 13:47:01 | 006,259,064 | ---- | M] (Microsoft Corporation) -- C:\Silverlight.exe
[2010.08.04 12:56:33 | 1129,438,718 | ---- | M] () -- C:\Der_Mann_der_Liberty_Valance_erschoss_10.07.12_20-17_arte_113_TVOON_DE.mpg.avi.otrkey
[2010.08.04 11:41:52 | 000,012,811 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Eigene Dateien\Vorlage Krankenkasse.odt
[2010.08.02 14:03:19 | 000,410,626 | ---- | M] () -- C:\Load(2).exe
[2010.08.02 13:56:58 | 000,410,626 | ---- | M] () -- C:\Load.exe
[2010.08.02 08:43:19 | 000,415,442 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\Politisches System der Nied....pdf
[2010.08.01 13:29:34 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.01 13:29:13 | 006,153,376 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\mbam-setup-1.46.exe
[2010.08.01 10:20:13 | 000,007,062 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Eigene Dateien\cc_20100801_101948.reg
[2010.07.31 16:35:36 | 000,017,408 | ---- | M] () -- C:\WINDOWS\System32\rpcnetp.dll
[2010.07.30 23:16:03 | 000,001,738 | ---- | M] () -- C:\WINDOWS\System32\SiteList.xml
[2010.07.29 18:05:35 | 002,298,432 | ---- | M] () -- C:\10173_AirbusA319-A320-A321-Quickreferencehandbook.zip
[2010.07.29 18:03:08 | 062,161,071 | ---- | M] () -- C:\Airbus_doc_v1.0.zip
[2010.07.29 16:28:54 | 000,109,733 | ---- | M] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\DSL-Antrag.pdf
 
========== Files Created - No Company Name ==========
 
[2010.08.08 19:26:21 | 111,966,392 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\Cruise on the canal de la Marne au Rhin - 2009.mp4
[2010.08.05 13:56:14 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\62s2d4rx.exe
[2010.08.05 11:20:19 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\NTREGOPT.lnk
[2010.08.05 11:20:19 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\ERUNT.lnk
[2010.08.05 09:24:32 | 013,729,792 | ---- | C] () -- C:\Black_Hawk_Down_10.08.04_22-40_kabel1_155_TVOON_DE.mpg.avi.otrkey
[2010.08.05 09:24:30 | 455,928,384 | ---- | C] () -- C:\Black_Hawk_Down_10.08.04_22-40_kabel1_155_TVOON_DE.mpg.avi.otrkey.part
[2010.08.04 12:00:56 | 1129,438,718 | ---- | C] () -- C:\Der_Mann_der_Liberty_Valance_erschoss_10.07.12_20-17_arte_113_TVOON_DE.mpg.avi.otrkey
[2010.08.04 11:38:51 | 000,012,811 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Eigene Dateien\Vorlage Krankenkasse.odt
[2010.08.03 07:01:28 | 001,464,969 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\COIN Strategy 1 8 10.pdf
[2010.08.02 14:03:19 | 000,410,626 | ---- | C] () -- C:\Load(2).exe
[2010.08.02 13:56:58 | 000,410,626 | ---- | C] () -- C:\Load.exe
[2010.08.02 08:43:18 | 000,415,442 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\Politisches System der Nied....pdf
[2010.08.01 13:29:34 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.01 10:19:51 | 000,007,062 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Eigene Dateien\cc_20100801_101948.reg
[2010.07.30 23:16:03 | 000,001,738 | ---- | C] () -- C:\WINDOWS\System32\SiteList.xml
[2010.07.29 18:05:30 | 002,298,432 | ---- | C] () -- C:\10173_AirbusA319-A320-A321-Quickreferencehandbook.zip
[2010.07.29 18:00:09 | 062,161,071 | ---- | C] () -- C:\Airbus_doc_v1.0.zip
[2010.07.29 16:28:52 | 000,109,733 | ---- | C] () -- C:\Dokumente und Einstellungen\ebeling\Desktop\DSL-Antrag.pdf
[2010.05.03 10:21:25 | 000,008,694 | ---- | C] () -- C:\WINDOWS\System32\DWRCS.INI
[2010.04.29 09:50:59 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\GaugeSound.dll
[2010.03.24 19:12:18 | 000,001,398 | ---- | C] () -- C:\WINDOWS\BAUWAS.INI
[2010.03.11 14:06:10 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_48BitScanUpdatePatch.ini
[2010.01.02 14:02:44 | 000,552,960 | ---- | C] () -- C:\WINDOWS\System32\FS2AUDIO.dll
[2009.12.30 13:28:10 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2009.12.29 13:03:30 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\InprocServer32.dll
[2009.12.19 14:55:58 | 000,000,118 | ---- | C] () -- C:\WINDOWS\RFP.ini
[2009.11.19 11:27:06 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI
[2009.11.02 19:02:01 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\ztvunrar36.dll
[2009.11.02 19:02:01 | 000,077,312 | ---- | C] () -- C:\WINDOWS\System32\ztvunace26.dll
[2009.11.01 18:07:47 | 000,276,992 | ---- | C] () -- C:\WINDOWS\System32\esftchk5.dll
[2009.08.04 14:42:21 | 000,000,107 | ---- | C] () -- C:\WINDOWS\VobEdit.INI
[2009.07.09 10:22:12 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2009.07.09 10:20:58 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009.05.05 10:17:59 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.04.30 12:13:12 | 000,000,049 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009.04.24 14:23:21 | 000,038,968 | ---- | C] () -- C:\WINDOWS\System32\luinst.dll
[2009.04.24 13:09:47 | 000,000,218 | ---- | C] () -- C:\WINDOWS\ORAODBC.INI
[2009.04.24 13:09:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ORACLE.INI
[2009.04.24 12:38:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\spawndoc.INI
[2009.04.23 15:39:57 | 000,000,280 | ---- | C] () -- C:\WINDOWS\System32\epoPGPsdk.dll.sig
[2009.04.23 10:32:26 | 001,843,784 | ---- | C] () -- C:\WINDOWS\System32\igklg400.dll
[2009.04.23 10:32:26 | 001,399,880 | ---- | C] () -- C:\WINDOWS\System32\igklg450.dll
[2009.04.23 10:32:26 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2009.04.23 10:32:26 | 000,104,636 | ---- | C] () -- C:\WINDOWS\System32\igmedcompkrn.dll
[2009.04.23 10:25:37 | 000,017,408 | ---- | C] () -- C:\WINDOWS\System32\rpcnetp.dll
[2008.06.19 18:08:52 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2008.06.19 18:08:44 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2008.04.28 13:26:24 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\CallSimReader.dll
[2008.04.28 13:26:20 | 000,055,808 | ---- | C] () -- C:\WINDOWS\System32\SimReader.dll
[2006.09.28 14:55:34 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\PhysXLoader.dll
[2006.09.26 14:01:40 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2006.09.08 09:01:50 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2006.09.01 19:14:08 | 000,097,280 | ---- | C] () -- C:\WINDOWS\System32\TSRemote.dll
[2006.03.09 16:21:33 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\zlib.dll
[2004.10.28 16:38:10 | 000,315,728 | ---- | C] () -- C:\WINDOWS\System32\flt1chk3.dll
[2003.07.11 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
[2003.03.14 22:44:52 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\mwvb.dll
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.07.29 18:05:35 | 002,298,432 | ---- | M] () -- C:\10173_AirbusA319-A320-A321-Quickreferencehandbook.zip
[2009.09.14 12:55:02 | 000,004,924 | ---- | M] () -- C:\a9fe0000.pac
[2010.03.05 11:56:44 | 000,005,238 | ---- | M] () -- C:\a9fe0200.pac
[2009.11.03 13:43:49 | 000,004,924 | ---- | M] () -- C:\ac1003c0.pac
[2010.02.11 19:27:02 | 000,005,238 | ---- | M] () -- C:\ac140400.pac
[2009.11.30 08:45:22 | 000,004,924 | ---- | M] () -- C:\ac150f00.pac
[2010.07.29 18:03:08 | 062,161,071 | ---- | M] () -- C:\Airbus_doc_v1.0.zip
[2009.03.16 14:36:40 | 001,347,346 | ---- | M] () -- C:\Apr2005_d3dx9_25_x64.cab
[2009.03.16 14:36:42 | 001,078,954 | ---- | M] () -- C:\Apr2005_d3dx9_25_x86.cab
[2009.03.16 14:36:38 | 001,397,830 | ---- | M] () -- C:\Apr2006_d3dx9_30_x64.cab
[2009.03.16 14:36:44 | 001,115,221 | ---- | M] () -- C:\Apr2006_d3dx9_30_x86.cab
[2009.03.16 14:36:38 | 000,916,422 | ---- | M] () -- C:\Apr2006_MDX1_x86.cab
[2009.03.16 14:36:48 | 004,162,622 | ---- | M] () -- C:\Apr2006_MDX1_x86_Archive.cab
[2009.03.16 14:36:28 | 000,179,125 | ---- | M] () -- C:\Apr2006_XACT_x64.cab
[2009.03.16 14:36:20 | 000,133,095 | ---- | M] () -- C:\Apr2006_XACT_x86.cab
[2009.03.16 14:36:16 | 000,087,093 | ---- | M] () -- C:\Apr2006_xinput_x64.cab
[2009.03.16 14:36:12 | 000,046,002 | ---- | M] () -- C:\Apr2006_xinput_x86.cab
[2009.03.16 14:36:34 | 000,698,612 | ---- | M] () -- C:\APR2007_d3dx10_33_x64.cab
[2009.03.16 14:36:32 | 000,695,857 | ---- | M] () -- C:\APR2007_d3dx10_33_x86.cab
[2009.03.16 14:36:38 | 001,607,358 | ---- | M] () -- C:\APR2007_d3dx9_33_x64.cab
[2009.03.16 14:36:38 | 001,606,039 | ---- | M] () -- C:\APR2007_d3dx9_33_x86.cab
[2009.03.16 14:36:26 | 000,195,758 | ---- | M] () -- C:\APR2007_XACT_x64.cab
[2009.03.16 14:36:26 | 000,151,225 | ---- | M] () -- C:\APR2007_XACT_x86.cab
[2009.03.16 14:36:20 | 000,096,817 | ---- | M] () -- C:\APR2007_xinput_x64.cab
[2009.03.16 14:36:14 | 000,053,302 | ---- | M] () -- C:\APR2007_xinput_x86.cab
[2010.01.15 13:21:33 | 000,000,445 | ---- | M] () -- C:\ashampoo-acdw-log.txt
[2010.03.05 11:48:12 | 000,036,306 | ---- | M] () -- C:\ASLog.txt
[2009.03.16 14:36:42 | 001,350,534 | ---- | M] () -- C:\Aug2005_d3dx9_27_x64.cab
[2009.03.16 14:36:42 | 001,077,644 | ---- | M] () -- C:\Aug2005_d3dx9_27_x86.cab
[2009.03.16 14:36:26 | 000,182,895 | ---- | M] () -- C:\AUG2006_XACT_x64.cab
[2009.03.16 14:36:22 | 000,137,227 | ---- | M] () -- C:\AUG2006_XACT_x86.cab
[2009.03.16 14:36:16 | 000,087,134 | ---- | M] () -- C:\AUG2006_xinput_x64.cab
[2009.03.16 14:36:12 | 000,046,050 | ---- | M] () -- C:\AUG2006_xinput_x86.cab
[2009.03.16 14:36:36 | 000,852,278 | ---- | M] () -- C:\AUG2007_d3dx10_35_x64.cab
[2009.03.16 14:36:34 | 000,796,859 | ---- | M] () -- C:\AUG2007_d3dx10_35_x86.cab
[2009.03.16 14:36:48 | 001,800,152 | ---- | M] () -- C:\AUG2007_d3dx9_35_x64.cab
[2009.03.16 14:36:38 | 001,708,144 | ---- | M] () -- C:\AUG2007_d3dx9_35_x86.cab
[2009.03.16 14:36:28 | 000,198,088 | ---- | M] () -- C:\AUG2007_XACT_x64.cab
[2009.03.16 14:36:24 | 000,153,004 | ---- | M] () -- C:\AUG2007_XACT_x86.cab
[2009.03.16 14:36:38 | 000,867,604 | ---- | M] () -- C:\Aug2008_d3dx10_39_x64.cab
[2009.03.16 14:36:36 | 000,849,159 | ---- | M] () -- C:\Aug2008_d3dx10_39_x86.cab
[2009.03.16 14:36:48 | 001,794,076 | ---- | M] () -- C:\Aug2008_d3dx9_39_x64.cab
[2009.03.16 14:36:38 | 001,464,664 | ---- | M] () -- C:\Aug2008_d3dx9_39_x86.cab
[2009.03.16 14:36:20 | 000,121,824 | ---- | M] () -- C:\Aug2008_XACT_x64.cab
[2009.03.16 14:36:20 | 000,093,004 | ---- | M] () -- C:\Aug2008_XACT_x86.cab
[2009.03.16 14:36:32 | 000,271,360 | ---- | M] () -- C:\Aug2008_XAudio_x64.cab
[2009.03.16 14:36:32 | 000,269,842 | ---- | M] () -- C:\Aug2008_XAudio_x86.cab
[2009.04.23 10:22:26 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.07.01 22:01:13 | 002,926,183 | ---- | M] () -- C:\baeatp_pnl.zip
[2009.03.16 14:36:44 | 001,155,483 | ---- | M] () -- C:\BDANT.cab
[2009.03.16 14:36:38 | 000,975,148 | ---- | M] () -- C:\BDAXP.cab
[2010.08.05 10:07:21 | 013,729,792 | ---- | M] () -- C:\Black_Hawk_Down_10.08.04_22-40_kabel1_155_TVOON_DE.mpg.avi.otrkey
[2010.08.05 10:05:31 | 455,928,384 | ---- | M] () -- C:\Black_Hawk_Down_10.08.04_22-40_kabel1_155_TVOON_DE.mpg.avi.otrkey.part
[2009.04.23 10:16:29 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2008.04.14 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.05.26 11:48:31 | 000,004,202 | ---- | M] () -- C:\c0a8cb80.pac
[2009.12.22 14:50:25 | 000,004,924 | ---- | M] () -- C:\c0a8cbb0.pac
[2009.04.23 10:22:26 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.03.16 14:36:38 | 001,357,976 | ---- | M] () -- C:\Dec2005_d3dx9_28_x64.cab
[2009.03.16 14:36:42 | 001,079,456 | ---- | M] () -- C:\Dec2005_d3dx9_28_x86.cab
[2009.03.16 14:36:30 | 000,212,799 | ---- | M] () -- C:\DEC2006_d3dx10_00_x64.cab
[2009.03.16 14:36:30 | 000,191,720 | ---- | M] () -- C:\DEC2006_d3dx10_00_x86.cab
[2009.03.16 14:36:38 | 001,571,154 | ---- | M] () -- C:\DEC2006_d3dx9_32_x64.cab
[2009.03.16 14:36:38 | 001,574,376 | ---- | M] () -- C:\DEC2006_d3dx9_32_x86.cab
[2009.03.16 14:36:26 | 000,192,475 | ---- | M] () -- C:\DEC2006_XACT_x64.cab
[2009.03.16 14:36:22 | 000,145,591 | ---- | M] () -- C:\DEC2006_XACT_x86.cab
[2010.08.04 12:56:33 | 1129,438,718 | ---- | M] () -- C:\Der_Mann_der_Liberty_Valance_erschoss_10.07.12_20-17_arte_113_TVOON_DE.mpg.avi.otrkey
[2010.07.04 15:53:31 | 242,743,296 | ---- | M] (Microsoft Corporation) -- C:\dotnetfx35.exe
[2010.07.04 16:27:58 | 050,449,456 | ---- | M] (Microsoft Corporation) -- C:\dotNetFx40_Full_x86_x64.exe
[2009.03.16 14:35:34 | 000,094,024 | ---- | M] (Microsoft Corporation) -- C:\DSETUP.dll
[2009.03.16 14:36:16 | 001,691,464 | ---- | M] (Microsoft Corporation) -- C:\dsetup32.dll
[2009.03.16 14:36:12 | 000,044,444 | ---- | M] () -- C:\dxdllreg_x86.cab
[2009.03.16 14:36:48 | 013,264,160 | ---- | M] () -- C:\dxnt.cab
[2009.03.16 14:35:46 | 000,525,128 | ---- | M] (Microsoft Corporation) -- C:\DXSETUP.exe
[2009.03.16 14:36:18 | 000,095,296 | ---- | M] () -- C:\dxupdate.cab
[2010.07.05 10:49:54 | 972,270,766 | ---- | M] () -- C:\Ein_un_moeglicher_Haertefall_10.06.13_20-15_rtl_115_TVOON_DE.mpg.avi.otrkey
[2010.06.29 19:38:56 | 008,136,418 | ---- | M] () -- C:\enigma_atp_baexpress_landor_rw.zip
[2010.07.01 21:52:02 | 006,659,363 | ---- | M] () -- C:\enigma_atp_basepack.zip
[2009.03.16 14:36:38 | 001,247,499 | ---- | M] () -- C:\Feb2005_d3dx9_24_x64.cab
[2009.03.16 14:36:42 | 001,013,217 | ---- | M] () -- C:\Feb2005_d3dx9_24_x86.cab
[2009.03.16 14:36:38 | 001,362,788 | ---- | M] () -- C:\Feb2006_d3dx9_29_x64.cab
[2009.03.16 14:36:44 | 001,084,712 | ---- | M] () -- C:\Feb2006_d3dx9_29_x86.cab
[2009.03.16 14:36:28 | 000,178,351 | ---- | M] () -- C:\Feb2006_XACT_x64.cab
[2009.03.16 14:36:20 | 000,132,409 | ---- | M] () -- C:\Feb2006_XACT_x86.cab
[2009.03.16 14:36:26 | 000,194,675 | ---- | M] () -- C:\FEB2007_XACT_x64.cab
[2009.03.16 14:36:24 | 000,147,975 | ---- | M] () -- C:\FEB2007_XACT_x86.cab
[2010.08.02 08:43:14 | 000,008,174 | ---- | M] () -- C:\fpRedmon.log
[2009.04.23 10:22:26 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.03.16 14:36:38 | 001,335,994 | ---- | M] () -- C:\Jun2005_d3dx9_26_x64.cab
[2009.03.16 14:36:42 | 001,064,917 | ---- | M] () -- C:\Jun2005_d3dx9_26_x86.cab
[2009.03.16 14:36:28 | 000,180,777 | ---- | M] () -- C:\JUN2006_XACT_x64.cab
[2009.03.16 14:36:20 | 000,133,663 | ---- | M] () -- C:\JUN2006_XACT_x86.cab
[2009.03.16 14:36:32 | 000,699,036 | ---- | M] () -- C:\JUN2007_d3dx10_34_x64.cab
[2009.03.16 14:36:34 | 000,698,472 | ---- | M] () -- C:\JUN2007_d3dx10_34_x86.cab
[2009.03.16 14:36:40 | 001,607,766 | ---- | M] () -- C:\JUN2007_d3dx9_34_x64.cab
[2009.03.16 14:36:40 | 001,607,286 | ---- | M] () -- C:\JUN2007_d3dx9_34_x86.cab
[2009.03.16 14:36:28 | 000,197,122 | ---- | M] () -- C:\JUN2007_XACT_x64.cab
[2009.03.16 14:36:24 | 000,152,909 | ---- | M] () -- C:\JUN2007_XACT_x86.cab
[2009.03.16 14:36:38 | 000,867,828 | ---- | M] () -- C:\JUN2008_d3dx10_38_x64.cab
[2009.03.16 14:36:36 | 000,849,919 | ---- | M] () -- C:\JUN2008_d3dx10_38_x86.cab
[2009.03.16 14:36:46 | 001,792,600 | ---- | M] () -- C:\JUN2008_d3dx9_38_x64.cab
[2009.03.16 14:36:38 | 001,463,878 | ---- | M] () -- C:\JUN2008_d3dx9_38_x86.cab
[2009.03.16 14:36:14 | 000,055,154 | ---- | M] () -- C:\JUN2008_X3DAudio_x64.cab
[2009.03.16 14:36:12 | 000,021,897 | ---- | M] () -- C:\JUN2008_X3DAudio_x86.cab
[2009.03.16 14:36:20 | 000,121,046 | ---- | M] () -- C:\JUN2008_XACT_x64.cab
[2009.03.16 14:36:20 | 000,093,120 | ---- | M] () -- C:\JUN2008_XACT_x86.cab
[2009.03.16 14:36:32 | 000,269,620 | ---- | M] () -- C:\JUN2008_XAudio_x64.cab
[2009.03.16 14:36:32 | 000,269,016 | ---- | M] () -- C:\JUN2008_XAudio_x86.cab
[2010.08.02 14:03:19 | 000,410,626 | ---- | M] () -- C:\Load(2).exe
[2010.08.02 13:56:58 | 000,410,626 | ---- | M] () -- C:\Load.exe
[2010.07.03 11:51:49 | 043,022,751 | ---- | M] () -- C:\Maddog_SP3.zip
[2009.03.16 14:36:34 | 000,844,884 | ---- | M] () -- C:\Mar2008_d3dx10_37_x64.cab
[2009.03.16 14:36:34 | 000,818,252 | ---- | M] () -- C:\Mar2008_d3dx10_37_x86.cab
[2009.03.16 14:36:46 | 001,769,854 | ---- | M] () -- C:\Mar2008_d3dx9_37_x64.cab
[2009.03.16 14:36:38 | 001,443,282 | ---- | M] () -- C:\Mar2008_d3dx9_37_x86.cab
[2009.03.16 14:36:14 | 000,055,058 | ---- | M] () -- C:\Mar2008_X3DAudio_x64.cab
[2009.03.16 14:36:12 | 000,021,867 | ---- | M] () -- C:\Mar2008_X3DAudio_x86.cab
[2009.03.16 14:36:20 | 000,122,328 | ---- | M] () -- C:\Mar2008_XACT_x64.cab
[2009.03.16 14:36:20 | 000,093,726 | ---- | M] () -- C:\Mar2008_XACT_x86.cab
[2009.03.16 14:36:30 | 000,251,194 | ---- | M] () -- C:\Mar2008_XAudio_x64.cab
[2009.03.16 14:36:30 | 000,226,242 | ---- | M] () -- C:\Mar2008_XAudio_x86.cab
[2009.03.16 14:36:42 | 001,067,160 | ---- | M] () -- C:\Mar2009_d3dx10_41_x64.cab
[2009.03.16 14:36:42 | 001,040,745 | ---- | M] () -- C:\Mar2009_d3dx10_41_x86.cab
[2009.03.16 14:36:48 | 001,973,694 | ---- | M] () -- C:\Mar2009_d3dx9_41_x64.cab
[2009.03.16 14:36:38 | 001,612,446 | ---- | M] () -- C:\Mar2009_d3dx9_41_x86.cab
[2009.03.16 14:36:12 | 000,054,592 | ---- | M] () -- C:\Mar2009_X3DAudio_x64.cab
[2009.03.16 14:36:10 | 000,021,298 | ---- | M] () -- C:\Mar2009_X3DAudio_x86.cab
[2009.03.16 14:36:20 | 000,121,498 | ---- | M] () -- C:\Mar2009_XACT_x64.cab
[2009.03.16 14:36:16 | 000,092,732 | ---- | M] () -- C:\Mar2009_XACT_x86.cab
[2009.03.16 14:36:30 | 000,275,036 | ---- | M] () -- C:\Mar2009_XAudio_x64.cab
[2009.03.16 14:36:30 | 000,273,010 | ---- | M] () -- C:\Mar2009_XAudio_x86.cab
[2010.08.01 13:29:13 | 006,153,376 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\mbam-setup-1.46.exe
[2009.04.23 10:22:26 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2010.07.05 12:22:25 | 619,718,614 | ---- | M] () -- C:\Naturparadiese_Afrikas_10.06.24_19-30_arte_45_TVOON_DE.mpg.avi.otrkey
[2009.03.16 14:36:36 | 000,864,592 | ---- | M] () -- C:\Nov2007_d3dx10_36_x64.cab
[2009.03.16 14:36:34 | 000,803,884 | ---- | M] () -- C:\Nov2007_d3dx10_36_x86.cab
[2009.03.16 14:36:46 | 001,802,050 | ---- | M] () -- C:\Nov2007_d3dx9_36_x64.cab
[2009.03.16 14:36:44 | 001,709,352 | ---- | M] () -- C:\Nov2007_d3dx9_36_x86.cab
[2009.03.16 14:36:12 | 000,046,144 | ---- | M] () -- C:\NOV2007_X3DAudio_x64.cab
[2009.03.16 14:36:12 | 000,018,488 | ---- | M] () -- C:\NOV2007_X3DAudio_x86.cab
[2009.03.16 14:36:28 | 000,196,754 | ---- | M] () -- C:\NOV2007_XACT_x64.cab
[2009.03.16 14:36:22 | 000,148,264 | ---- | M] () -- C:\NOV2007_XACT_x86.cab
[2009.03.16 14:36:42 | 000,994,146 | ---- | M] () -- C:\Nov2008_d3dx10_40_x64.cab
[2009.03.16 14:36:38 | 000,965,413 | ---- | M] () -- C:\Nov2008_d3dx10_40_x86.cab
[2009.03.16 14:36:48 | 001,906,870 | ---- | M] () -- C:\Nov2008_d3dx9_40_x64.cab
[2009.03.16 14:36:38 | 001,550,796 | ---- | M] () -- C:\Nov2008_d3dx9_40_x86.cab
[2009.03.16 14:36:12 | 000,055,110 | ---- | M] () -- C:\Nov2008_X3DAudio_x64.cab
[2009.03.16 14:36:12 | 000,021,836 | ---- | M] () -- C:\Nov2008_X3DAudio_x86.cab
[2009.03.16 14:36:20 | 000,121,746 | ---- | M] () -- C:\Nov2008_XACT_x64.cab
[2009.03.16 14:36:18 | 000,092,688 | ---- | M] () -- C:\Nov2008_XACT_x86.cab
[2009.03.16 14:36:34 | 000,273,990 | ---- | M] () -- C:\Nov2008_XAudio_x64.cab
[2009.03.16 14:36:32 | 000,273,203 | ---- | M] () -- C:\Nov2008_XAudio_x86.cab
[2008.04.14 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.04.14 14:00:00 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2009.03.16 14:36:16 | 000,086,029 | ---- | M] () -- C:\Oct2005_xinput_x64.cab
[2009.03.16 14:36:12 | 000,045,359 | ---- | M] () -- C:\Oct2005_xinput_x86.cab
[2009.03.16 14:36:38 | 001,412,894 | ---- | M] () -- C:\OCT2006_d3dx9_31_x64.cab
[2009.03.16 14:36:42 | 001,127,209 | ---- | M] () -- C:\OCT2006_d3dx9_31_x86.cab
[2009.03.16 14:36:28 | 000,182,361 | ---- | M] () -- C:\OCT2006_XACT_x64.cab
[2009.03.16 14:36:22 | 000,138,017 | ---- | M] () -- C:\OCT2006_XACT_x86.cab
[2010.07.01 08:10:26 | 009,093,690 | ---- | M] () -- C:\opensky_a343-swiss.zip
[2010.07.01 08:06:11 | 008,033,724 | ---- | M] () -- C:\pa380_af.zip
[2010.08.09 08:18:15 | 2147,483,648 | -HS- | M] () -- C:\pagefile.sys
[2009.05.14 20:39:25 | 000,000,030 | ---- | M] () -- C:\SCAERROR.LOG
[2009.05.11 11:24:32 | 000,000,082 | ---- | M] () -- C:\scenery.cfg
[2010.08.04 13:47:01 | 006,259,064 | ---- | M] (Microsoft Corporation) -- C:\Silverlight.exe
[2010.07.01 15:46:55 | 000,339,733 | ---- | M] () -- C:\SOP.zip
[2009.05.14 13:35:59 | 000,066,614 | ---- | M] () -- C:\tempbmp.$$$
[2010.07.04 14:43:14 | 024,904,891 | ---- | M] () -- C:\vDispatch_0_3_1.zip
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009.04.23 10:22:05 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.04.23 12:01:27 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.04.23 12:01:27 | 001,089,536 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.04.23 12:01:27 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 14:00:00 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 14:00:00 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
"NoAutoRebootWithLoggedOnUsers" = 1
"NoAutoUpdate" = 0
"AUOptions" = 4
"ScheduledInstallDay" = 0
"ScheduledInstallTime" = 22
"AutoInstallMinorUpdates" = 1
"DetectionFrequencyEnabled" = 1
"DetectionFrequency" = 1
"RebootRelaunchTimeoutEnabled" = 1
"RebootRelaunchTimeout" = 300
"RescheduleWaitTimeEnabled" = 1
"RescheduleWaitTime" = 30
"UseWUServer" = 1
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-07-04 20:02:18
< End of report >
         

--- --- ---

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Sorry, ich kann McAffee nicht deaktivieren, weil meine Benutzeroberfläche gesperrt ist. Trau mich nicht, Combofix dennoch laufen zu lassen. Oder soll ich doch?

Ja lass CF trotzdem laufen.

Dies ist das ComboFix-Log. Schau doch mal, Danke

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-10.06 - *** 11.08.2010  16:42:39.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3574.2926 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Combo-Fix.exe
AV: McAfee VirusScan Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
 * Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\vlc-1.0.5-win32.exe
c:\dokumente und einstellungen\***\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\Compilations\desktop_1.ini
c:\dokumente und einstellungen\***\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\Compilations\Tried And True\desktop_1.ini
c:\windows\system32\st325602.dll
E:\Autorun.inf
E:\install.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://hbg-excas-v11.dpa.com
.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-11 bis 2010-08-11  ))))))))))))))))))))))))))))))
.

2010-08-05 09:20 . 2010-08-05 09:20	--------	d-----w-	c:\programme\ERUNT
2010-08-04 11:47 . 2010-08-04 11:47	--------	d-----w-	c:\programme\Microsoft Silverlight
2010-08-04 11:46 . 2010-08-04 11:47	6259064	----a-w-	C:\Silverlight.exe
2010-08-02 12:03 . 2010-08-02 12:03	410626	----a-w-	C:\Load(2).exe
2010-08-02 11:56 . 2010-08-02 11:56	410626	----a-w-	C:\Load.exe
2010-08-01 11:29 . 2010-08-01 11:29	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-08-01 11:29 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-01 11:29 . 2010-08-01 11:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-01 11:29 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-01 11:29 . 2010-08-01 11:29	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-01 11:28 . 2010-08-01 11:29	6153376	----a-w-	C:\mbam-setup-1.46.exe
2010-07-29 17:37 . 2010-07-29 17:37	--------	d-----w-	C:\Airbus_doc_v1.0
2010-07-29 16:05 . 2010-07-29 16:05	2298432	----a-w-	C:\10173_AirbusA319-A320-A321-Quickreferencehandbook.zip
2010-07-29 16:00 . 2010-07-29 16:03	62161071	----a-w-	C:\Airbus_doc_v1.0.zip
2010-07-28 09:04 . 2009-08-31 18:07	70728	----a-w-	c:\windows\system32\mfevtps.exe
2010-07-28 09:04 . 2009-08-31 18:07	65448	----a-w-	c:\windows\system32\drivers\mferkdet.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-11 13:29 . 2009-09-18 07:34	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-08-11 12:14 . 2010-05-03 10:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-11 06:12 . 2009-04-23 09:02	17408	----a-w-	c:\windows\system32\rpcnetp.exe
2010-08-11 06:12 . 2009-04-23 11:37	56680	----a-w-	c:\windows\system32\rpcnet.dll
2010-08-09 14:29 . 2009-04-24 07:15	1	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-05 08:42 . 2009-04-29 09:59	--------	d-----w-	c:\programme\Audacity
2010-07-31 14:35 . 2009-04-23 08:25	17408	----a-w-	c:\windows\system32\rpcnetp.dll
2010-07-09 23:16 . 2008-10-10 14:57	48024	----a-w-	c:\windows\system32\pkgslv.exe
2010-07-09 23:16 . 2008-10-10 14:57	44952	----a-w-	c:\windows\system32\pkgmgr.dll
2010-07-04 20:01 . 2008-04-14 12:00	99212	----a-w-	c:\windows\system32\perfc007.dat
2010-07-04 20:01 . 2008-04-14 12:00	513560	----a-w-	c:\windows\system32\perfh007.dat
2010-07-04 14:28 . 2010-07-04 14:28	--------	d-----w-	c:\programme\Microsoft.NET
2010-07-04 14:27 . 2010-07-04 14:25	50449456	----a-w-	C:\dotNetFx40_Full_x86_x64.exe
2010-07-04 14:23 . 2009-04-24 06:57	47992	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-04 14:16 . 2010-07-04 14:16	--------	d-----w-	c:\programme\MSBuild
2010-07-04 13:53 . 2010-07-04 12:46	242743296	----a-w-	C:\dotnetfx35.exe
2010-07-04 12:43 . 2010-07-04 12:42	24904891	----a-w-	C:\vDispatch_0_3_1.zip
2010-07-03 09:51 . 2010-07-03 09:49	43022751	----a-w-	C:\Maddog_SP3.zip
2010-07-01 20:01 . 2010-07-01 20:01	2926183	----a-w-	C:\baeatp_pnl.zip
2010-07-01 19:52 . 2010-07-01 19:48	6659363	----a-w-	C:\enigma_atp_basepack.zip
2010-07-01 13:46 . 2010-07-01 13:46	339733	----a-w-	C:\SOP.zip
2010-07-01 06:10 . 2010-07-01 06:09	9093690	----a-w-	C:\opensky_a343-swiss.zip
2010-07-01 06:06 . 2010-07-01 06:05	8033724	----a-w-	C:\pa380_af.zip
2010-06-29 17:38 . 2010-06-29 17:36	8136418	----a-w-	C:\enigma_atp_baexpress_landor_rw.zip
2010-06-27 16:08 . 2009-04-23 12:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-06-23 11:58 . 2009-04-23 14:06	--------	d-----w-	c:\programme\OpenOffice.org 3
2009-08-31 18:07 . 2010-07-28 09:04	23864	----a-w-	c:\programme\mozilla firefox\components\Scriptff.dll
2009-04-30 13:45 . 2009-04-30 13:45	61	--sh--w-	c:\windows\cnerolf.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2007-07-02 159744]
"WinVNC"="c:\programme\UltraVNC\WinVNC.exe" [2005-08-11 978944]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-11 198160]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2009-09-22 136512]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2009-08-31 124240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{A7091E1D-36A4-47F1-A739-173CC341414F}\Icon3E5562ED7.ico [2009-4-24 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1436264040-2522402604-1164418187-12434\Scripts\Logon\0\0]
"Script"=\\dpa.com\NETLOGON\dpalsvg.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1436264040-2522402604-1164418187-13058\Scripts\Logon\0\0]
"Script"=\\dpa.com\NETLOGON\dpalsvg.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1436264040-2522402604-1164418187-13087\Scripts\Logon\0\0]
"Script"=\\dpa.com\NETLOGON\dpalsvg.bat

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06	976832	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08	35696	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03	292128	----a-w-	E:\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2008-07-04 10:52	2072576	----a-w-	c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31	2144088	--sha-r-	c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23	149280	-c--a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
2008-08-07 15:18	90112	----a-w-	e:\programme\Video_deluxe_15\Trayserver.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"e:\\Flusi\\FSFDT\\FWInn\\FWInn.exe"=
"e:\\Flusi\\FSFDT\\Control Panel\\FSFDTCP.exe"=
"e:\\Flusi\\fs9.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"e:\\Flusi\\MADDOG2008\\MDCP.exe"=
"c:\\Programme\\dpa\\StarSystem\\Star_Ed\\STAR_ED.EXE"=
"e:\\VRC\\VRC.exe"=
"e:\\client software pegasus\\pegasus.exe"=
"e:\\Euroscope\\EuroScope.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"e:\\Steam\\steamapps\\common\\railworks\\RailWorks.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\windows\system32\drivers\dwvkbd.sys [15.02.2007 20:00 26624]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\dpa\StarSystem\Star_Fb\bin\fbguard.exe [29.05.2006 08:48 81920]
R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\EngineServer.exe [31.08.2009 20:07 21256]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [28.07.2010 11:04 70728]
R2 rpcld;Remote Procedure Call (RPC) LD;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Rpcnet\Bin\rpcld.exe --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Rpcnet\Bin\rpcld.exe [?]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04.07.2008 12:52 14336]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [23.04.2009 16:37 6016]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [15.08.2007 01:00 53632]
R3 DwMirror;DwMirror;c:\windows\system32\drivers\DamewareMini.sys [07.02.2007 20:00 3712]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\dpa\StarSystem\Star_Fb\bin\fbserver.exe [29.05.2006 08:47 1581056]
R3 fxusbase;Eumex 400;c:\windows\system32\drivers\fxusbase.sys [15.08.2007 01:00 567936]
R3 LuIPSec;Lucent VPN Miniport;c:\windows\system32\drivers\luipsec.sys [24.04.2009 14:23 269964]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate1c9c4b7f19ac5a2;Google Update Service (gupdate1c9c4b7f19ac5a2);c:\programme\Google\Update\GoogleUpdate.exe [24.04.2009 10:37 133104]
S2 LucentIKE;LucentIKE;c:\programme\IPSec Client\lucentikesvc.exe [24.04.2009 14:23 53248]
S2 STAR_IndexSrv;STAR_IndexSrv;c:\programme\dpa\StarSystem\Star_Db\Star_Ind\STAR_Indexer.exe [22.04.2009 19:48 3043840]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;e:\programme\Common\Database\bin\fbserver.exe [09.07.2009 11:15 1527900]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [28.07.2010 11:04 65448]
S3 OracleClientCache80;OracleClientCache80;c:\orant\BIN\ONRSD80.EXE [26.04.2002 15:13 95744]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-06-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb0d68976f21d6.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-24 08:37]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.dpa.de/intranet/generator/id=1
LSP: bmnet.dll
TCP: {8A537DFE-5F4D-4B11-A2BC-C67B7EA58FD7} = 195.129.111.49 195.129.111.50
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\xai4ohxn.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\xai4ohxn.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: e:\mozilla plugins\npitunes.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-11 16:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1168)
c:\windows\system32\bmnet.dll

- - - - - - - > 'lsass.exe'(1224)
c:\windows\system32\bmnet.dll
.
Zeit der Fertigstellung: 2010-08-11  17:00:35
ComboFix-quarantined-files.txt  2010-08-11 15:00

Vor Suchlauf: 908.804.096 Bytes frei
Nach Suchlauf: 869.113.856 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 42625B5A5CB6D0EBA78F45C188B3FC12
         

--- --- ---

Gab es schon besserungen ?

Schritt 1

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierungen), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
  
  
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt 3

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.


Bitte poste in Deiner nächsten Antwort
MBAM Log
ESET Log
checkup.txt
Berichte wie der Rechner läuft

Hier ist das Malwarebytes-Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4376

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.08.2010 14:42:08
mbam-log-2010-08-12 (14-42-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 145841
Laufzeit: 6 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Dies ist das Log vom Security-Check:

Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 3
Internet Explorer 7 Out of date!
``````````````````````````````
Antivirus/Firewall Check:
Windows Security Center service is not running! This report may not be accurate!
ESET Online Scanner v3
McAfee VirusScan Enterprise
McAfee Agent
Antivirus up to date!
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
HijackThis 2.0.2
CCleaner
Java(TM) 6 Update 15
Java(TM) SE Runtime Environment 6
Out of date Java installed!
Adobe Flash Player 10.1.53.64
Adobe Reader 9.2 - Deutsch
Out of date Adobe Reader installed!
````````````````````````````````
Process Check:
objlist.exe by Laurent
McAfee VirusScan Enterprise EngineServer.exe
McAfee VirusScan Enterprise VsTskMgr.exe
McAfee VirusScan Enterprise Mcshield.exe
````````````````````````````````
DNS Vulnerability Check:
GREAT! (Not vulnerable to DNS cache poisoning)

``````````End of Log````````````


Ich habe den eset-Scan versucht. Der Scanprozess haengt sich aber bereits bei 4 Prozent (75 Dateien) auf.

Besserung: Ja, die lange Wartezeit ist weg. Wie sieht die Trojanerlage nun aus?
Danke!