Firefox.exe und Iexplorer werden als TR/Crypt.XPACK.Gen2 erkannt

Meltas · 06.08.2010, 00:46

Hallo ^^

Nachdem ich heute schon den ganzen tag versuche mein Problem selbst zu lösen und ich Lösungsvorschläge für ähnliche Probleme, ohne Erfolg, durchprobiert habe, brauche ich wohl doch eure Hilfe ^^" (ich hoffe mal ich habs nicht noch schlimmer gemacht..)

Also alles fing heute Morgen an - beim googlen blitzte plötzlich mehrmals Avira auf und meldete das Firefox.exe und die .exe Datei vom IE ein TR/Crypt.XPACK.Gen2 seien.

Es sind auch keine fake Dateien, die den gleichen Namen haben, sondern die vom Browser - nach löschen der Dateien ist die Meldung auch weg - taucht aber bei Neuinstallation (der Browser die ja ohne exe nicht funktionieren) sofort wieder auf - was mir das surfen unmöglich macht (zum glück hatte ich noch Chrome installiert)

Falls ich den Trojaner einfach ignoriere kann ich die Browser benutzen jedoch werde ich, egal auf welche Seite ich gehe (wikipedia und über google getestet), auf irgendwelche anderen seiten weitergeleitet (außer meine Favoriten, die funktionieren)

Nun hab ich schon viel rumprobiert und poste am besten einfach die Logs - ich habe mich auch immer streng an die vorgaben gehalten was die Anwendung der unterschiedlichen antiMalware Programme angeht, es wurden auch einige Sachen gefunden die jedoch nichts zur Problemlösung beitrugen...

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/05/2010 at 07:40 PM

Application Version : 4.41.1000

Core Rules Database Version : 5322
Trace Rules Database Version: 3134

Scan type : Complete Scan
Total Scan Time : 00:30:28

Memory items scanned : 606
Memory threats detected : 0
Registry items scanned : 8170
Registry threats detected : 2
File items scanned : 27192
File threats detected : 0

Unclassified.Unknown Origin
HKU\S-1-5-21-679276860-534556479-4187676130-1000\Software\Microsoft\Windows\CurrentVersion\Run#userinit [ C:\Users\Crowley\AppData\Roaming\sdra64.exe ]

Backdoor.Bot[ZBot]
HKU\S-1-5-21-679276860-534556479-4187676130-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7}

Combofix
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-05.01 - Crowley 05.08.2010  20:19:58.1.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3327.2594 [GMT 2:00]
ausgeführt von:: c:\users\Crowley\Desktop\ComboFix.exe
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Crowley\AppData\Local\Windows Server
c:\users\Crowley\AppData\Local\Windows Server\admin.txt
c:\users\Crowley\AppData\Local\Windows Server\flags.ini
c:\users\Crowley\AppData\Local\Windows Server\hlp.dat
c:\users\Crowley\AppData\Local\Windows Server\server.dat
c:\users\Crowley\AppData\Local\Windows Server\uses32.dat

Infizierte Kopie von c:\windows\System32\wininit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-05 18:24 . 2010-08-05 18:24	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-08-05 18:04 . 2010-08-05 18:04	--------	d-----w-	c:\users\Crowley\AppData\Roaming\Malwarebytes
2010-08-05 18:04 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-05 18:04 . 2010-08-05 18:04	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-05 18:04 . 2010-08-05 18:04	--------	d-----w-	c:\programdata\Malwarebytes
2010-08-05 18:04 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-05 16:55 . 2010-08-05 16:55	63488	----a-w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-08-05 16:55 . 2010-08-05 16:55	52224	----a-w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-08-05 16:55 . 2010-08-05 16:55	117760	----a-w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-08-05 16:54 . 2010-08-05 16:54	--------	d-----w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com
2010-08-05 16:54 . 2010-08-05 16:54	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2010-08-05 16:54 . 2010-08-05 16:54	--------	d-----w-	c:\program files\SUPERAntiSpyware
2010-08-05 14:56 . 2010-08-05 14:56	--------	d-----w-	c:\program files\CCleaner
2010-08-03 12:00 . 2010-08-03 12:00	47364	----a-w-	c:\programdata\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll
2010-08-03 11:47 . 2010-08-03 12:00	--------	d-----w-	c:\programdata\Blizzard Entertainment
2010-08-03 11:47 . 2010-08-03 11:55	--------	d-----w-	c:\program files\Common Files\Blizzard Entertainment
2010-08-02 12:29 . 2010-08-03 22:29	--------	d-sh--w-	c:\users\Crowley\AppData\Roaming\lowsec
2010-07-25 00:28 . 2010-07-25 00:28	53632	----a-w-	c:\users\Crowley\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-07-25 00:25 . 2010-07-25 00:29	--------	d-----w-	c:\program files\League of Legends

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 18:23 . 2009-07-14 08:47	653928	----a-w-	c:\windows\system32\perfh007.dat
2010-08-05 18:23 . 2009-07-14 08:47	129800	----a-w-	c:\windows\system32\perfc007.dat
2010-08-05 16:33 . 2010-06-01 14:57	--------	d-----w-	c:\program files\Common Files\Akamai
2010-08-05 14:38 . 2010-02-07 22:55	1	----a-w-	c:\users\Crowley\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-25 00:29 . 2010-05-20 14:51	--------	d-----w-	c:\programdata\PMB Files
2010-07-25 00:28 . 2010-03-20 19:30	--------	d-----w-	c:\program files\Common Files\Adobe AIR
2010-07-25 00:28 . 2010-03-20 19:47	53632	----a-w-	c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-07-24 02:13 . 2010-02-26 01:57	--------	d-----w-	c:\program files\PokerStars
2010-06-26 02:51 . 2010-06-26 02:51	--------	d-----w-	c:\program files\Microsoft.NET
2010-06-18 23:09 . 2010-02-07 13:22	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-18 23:07 . 2010-06-18 22:29	--------	d-----w-	c:\users\Crowley\AppData\Roaming\uTorrent
2010-06-18 22:29 . 2010-06-18 22:29	--------	d-----w-	c:\program files\uTorrent
2010-05-27 07:24 . 2010-06-11 10:07	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-11 10:07	293888	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-02-06 21:32	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-11 10:07	977920	----a-w-	c:\windows\system32\wininet.dll
2010-05-09 09:14 . 2010-06-22 18:23	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-05-09 09:14 . 2010-06-22 18:23	417792	----a-w-	c:\windows\system32\msdri.dll
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42	396800	--sha-w-	c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"execev"="c:\users\Crowley\AppData\Roaming\execev.exe" [2009-07-14 84480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-03-05 1135912]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]

c:\users\Crowley\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1cad404bd34de8e;Google Update Service (gupdate1cad404bd34de8e);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 133104]
R3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;c:\games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-07-26 25832]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-02-07 691696]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-03-30 1107336]

.
Inhalt des "geplante Tasks" Ordners

2010-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 14:40]

2010-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 14:40]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
AddRemove-Mozilla Firefox (3.6.8) - c:\program files\Mozilla Firefox\uninstall\helper.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\WUDFHost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  20:28:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-05 18:28

Vor Suchlauf: 8 Verzeichnis(se), 181.505.388.544 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 181.331.771.392 Bytes frei

- - End Of File - - 8CA6A69F573E188D4E56B640C2B1BF48

--- --- ---

Malwarebytes

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4394

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

05.08.2010 20:10:02
mbam-log-2010-08-05 (20-10-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125764
Laufzeit: 3 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\WinServers (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\extensions.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\extensions.exe (Spyware.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\extensions.exe\extensions.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\Crowley\AppData\Local\Temp\0.4640001303272716.exe (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\Users\Crowley\AppData\Local\Temp\0.5619385614432425.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\extensions.exe\config.bin (Spyware.SpyEyes) -> Quarantined and deleted successfully.

OTL

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 06.08.2010 00:21:02 - Run 1
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Users\Crowley\Desktop
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 72,00% Memory free
6,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 292,97 Gb Total Space | 177,38 Gb Free Space | 60,55% Space Free | Partition Type: NTFS
Drive D: | 172,78 Gb Total Space | 69,11 Gb Free Space | 40,00% Space Free | Partition Type: NTFS
Drive E: | 352,62 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: CROWLEY-PC
Current User Name: Crowley
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.08.06 00:20:35 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Users\Crowley\Desktop\OTL.exe
PRC - [2010.07.23 00:02:16 | 000,945,720 | ---- | M] (Google Inc.) -- C:\Programme\Google\Chrome\Application\chrome.exe
PRC - [2010.03.30 11:16:16 | 001,820,040 | ---- | M] (LogMeIn Inc.) -- C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
PRC - [2010.03.30 11:16:12 | 001,107,336 | ---- | M] (LogMeIn Inc.) -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe
PRC - [2009.12.02 16:43:35 | 000,470,785 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avcenter.exe
PRC - [2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.08.19 11:32:24 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2009.08.19 11:32:20 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.07.14 03:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 03:14:24 | 000,157,184 | ---- | M] (Microsoft Corporation) -- c:\Programme\Windows Defender\MpCmdRun.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.08.06 00:20:35 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Users\Crowley\Desktop\OTL.exe
MOD - [2009.07.14 03:16:15 | 000,099,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sspicli.dll
MOD - [2009.07.14 03:16:13 | 000,092,160 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sechost.dll
MOD - [2009.07.14 03:16:13 | 000,050,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\samcli.dll
MOD - [2009.07.14 03:16:12 | 000,031,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\profapi.dll
MOD - [2009.07.14 03:16:03 | 000,022,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\netutils.dll
MOD - [2009.07.14 03:15:35 | 000,288,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\KernelBase.dll
MOD - [2009.07.14 03:15:13 | 000,067,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\dwmapi.dll
MOD - [2009.07.14 03:15:11 | 000,064,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\devobj.dll
MOD - [2009.07.14 03:15:07 | 000,036,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cryptbase.dll
MOD - [2009.07.14 03:15:02 | 000,145,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cfgmgr32.dll
MOD - [2009.07.14 03:14:10 | 000,095,232 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\msscript.ocx
MOD - [2009.07.14 03:03:50 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.03.30 11:16:12 | 001,107,336 | ---- | M] (LogMeIn Inc.) [Auto | Running] -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.07.26 07:43:14 | 000,025,832 | ---- | M] (BioWare) [On_Demand | Stopped] -- C:\Games\Dragon Age\bin_ship\daupdatersvc.service.exe -- (DAUpdaterSvc)
SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.07.14 03:16:21 | 000,185,856 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wwansvc.dll -- (WwanSvc)
SRV - [2009.07.14 03:16:17 | 000,151,552 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wbiosrvc.dll -- (WbioSrvc)
SRV - [2009.07.14 03:16:17 | 000,119,808 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\umpo.dll -- (Power)
SRV - [2009.07.14 03:16:16 | 000,037,376 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\themeservice.dll -- (Themes)
SRV - [2009.07.14 03:16:15 | 000,053,760 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sppuinotify.dll -- (sppuinotify)
SRV - [2009.07.14 03:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 03:16:13 | 000,043,520 | ---- | M] (Microsoft Corporation) [Unknown | Running] -- C:\Windows\System32\RpcEpMap.dll -- (RpcEptMapper)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\pnrpsvc.dll -- (PNRPsvc)
SRV - [2009.07.14 03:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\pnrpsvc.dll -- (p2pimsvc)
SRV - [2009.07.14 03:16:12 | 000,165,376 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\provsvc.dll -- (HomeGroupProvider)
SRV - [2009.07.14 03:16:12 | 000,020,480 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpauto.dll -- (PNRPAutoReg)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 03:15:36 | 000,194,560 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\ListSvc.dll -- (HomeGroupListener)
SRV - [2009.07.14 03:15:21 | 000,797,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\FntCache.dll -- (FontCache)
SRV - [2009.07.14 03:15:11 | 000,253,440 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\dhcpcore.dll -- (Dhcp)
SRV - [2009.07.14 03:15:10 | 000,218,624 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\defragsvc.dll -- (defragsvc)
SRV - [2009.07.14 03:14:59 | 000,076,800 | ---- | M] (Microsoft Corporation) [Unknown | Stopped] -- C:\Windows\System32\bdesvc.dll -- (BDESVC)
SRV - [2009.07.14 03:14:58 | 000,088,064 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\AxInstSv.dll -- (AxInstSV) ActiveX-Installer (AxInstSV)
SRV - [2009.07.14 03:14:53 | 000,027,648 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\appidsvc.dll -- (AppIDSvc)
SRV - [2009.07.14 03:14:29 | 003,179,520 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\sppsvc.exe -- (sppsvc)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Crowley\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - [2010.05.10 20:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2010.02.17 20:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2010.02.07 14:32:56 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2010.02.03 15:56:56 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hamachi.sys -- (hamachi)
DRV - [2010.01.12 13:03:34 | 011,586,280 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009.12.11 09:44:02 | 000,133,720 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\ksecpkg.sys -- (KSecPkg)
DRV - [2009.11.25 12:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.07.14 03:26:21 | 000,015,952 | ---- | M] (CMD Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\cmdide.sys -- (cmdide)
DRV - [2009.07.14 03:26:17 | 000,297,552 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpahci.sys -- (adpahci)
DRV - [2009.07.14 03:26:15 | 000,422,976 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adp94xx.sys -- (adp94xx)
DRV - [2009.07.14 03:26:15 | 000,159,312 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsbs.sys -- (amdsbs)
DRV - [2009.07.14 03:26:15 | 000,146,512 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpu320.sys -- (adpu320)
DRV - [2009.07.14 03:26:15 | 000,086,608 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arcsas.sys -- (arcsas)
DRV - [2009.07.14 03:26:15 | 000,079,952 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsata.sys -- (amdsata)
DRV - [2009.07.14 03:26:15 | 000,076,368 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arc.sys -- (arc)
DRV - [2009.07.14 03:26:15 | 000,023,616 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\amdxata.sys -- (amdxata)
DRV - [2009.07.14 03:26:15 | 000,014,400 | ---- | M] (Acer Laboratories Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\aliide.sys -- (aliide)
DRV - [2009.07.14 03:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvstor.sys -- (nvstor)
DRV - [2009.07.14 03:20:44 | 000,117,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvraid.sys -- (nvraid)
DRV - [2009.07.14 03:20:44 | 000,044,624 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nfrd960.sys -- (nfrd960)
DRV - [2009.07.14 03:20:37 | 000,089,168 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas.sys -- (LSI_SAS)
DRV - [2009.07.14 03:20:36 | 000,332,352 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iaStorV.sys -- (iaStorV)
DRV - [2009.07.14 03:20:36 | 000,235,584 | ---- | M] (LSI Corporation, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MegaSR.sys -- (MegaSR)
DRV - [2009.07.14 03:20:36 | 000,096,848 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_scsi.sys -- (LSI_SCSI)
DRV - [2009.07.14 03:20:36 | 000,095,824 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_fc.sys -- (LSI_FC)
DRV - [2009.07.14 03:20:36 | 000,054,864 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas2.sys -- (LSI_SAS2)
DRV - [2009.07.14 03:20:36 | 000,041,040 | ---- | M] (Intel Corp./ICP vortex GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iirsp.sys -- (iirsp)
DRV - [2009.07.14 03:20:36 | 000,030,800 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\megasas.sys -- (megasas)
DRV - [2009.07.14 03:20:36 | 000,013,904 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\hwpolicy.sys -- (hwpolicy)
DRV - [2009.07.14 03:20:28 | 000,453,712 | ---- | M] (Emulex) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\elxstor.sys -- (elxstor)
DRV - [2009.07.14 03:20:28 | 000,070,720 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\djsvs.sys -- (aic78xx)
DRV - [2009.07.14 03:20:28 | 000,067,152 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\HpSAMD.sys -- (HpSAMD)
DRV - [2009.07.14 03:20:28 | 000,046,160 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\fsdepends.sys -- (FsDepends)
DRV - [2009.07.14 03:19:11 | 000,141,904 | ---- | M] (VIA Technologies Inc.,Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vsmraid.sys -- (vsmraid)
DRV - [2009.07.14 03:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus)
DRV - [2009.07.14 03:19:10 | 000,159,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vhdmp.sys -- (vhdmp)
DRV - [2009.07.14 03:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vmstorfl.sys -- (storflt)
DRV - [2009.07.14 03:19:10 | 000,032,832 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vdrvroot.sys -- (vdrvroot)
DRV - [2009.07.14 03:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\wimmount.sys -- (WIMMount)
DRV - [2009.07.14 03:19:10 | 000,016,976 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\viaide.sys -- (viaide)
DRV - [2009.07.14 03:19:04 | 001,383,488 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql2300.sys -- (ql2300)
DRV - [2009.07.14 03:19:04 | 000,173,648 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\rdyboost.sys -- (rdyboost)
DRV - [2009.07.14 03:19:04 | 000,106,064 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql40xx.sys -- (ql40xx)
DRV - [2009.07.14 03:19:04 | 000,077,888 | ---- | M] (Silicon Integrated Systems) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\sisraid4.sys -- (SiSRaid4)
DRV - [2009.07.14 03:19:04 | 000,043,088 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\pcw.sys -- (pcw)
DRV - [2009.07.14 03:19:04 | 000,040,016 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\SiSRaid2.sys -- (SiSRaid2)
DRV - [2009.07.14 03:19:04 | 000,021,072 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\stexstor.sys -- (stexstor)
DRV - [2009.07.14 03:17:54 | 000,369,568 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\cng.sys -- (CNG)
DRV - [2009.07.14 02:57:25 | 000,272,128 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\Brserid.sys -- (Brserid) Brother MFC Serial Port Interface Driver (WDM)
DRV - [2009.07.14 02:02:41 | 000,018,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rdpbus.sys -- (rdpbus)
DRV - [2009.07.14 02:01:41 | 000,007,168 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\RDPREFMP.sys -- (RDPREFMP)
DRV - [2009.07.14 01:55:00 | 000,049,152 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\agilevpn.sys -- (RasAgileVpn) WAN Miniport (IKEv2)
DRV - [2009.07.14 01:53:51 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\wfplwf.sys -- (WfpLwf)
DRV - [2009.07.14 01:52:44 | 000,027,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ndiscap.sys -- (NdisCap)
DRV - [2009.07.14 01:52:02 | 000,019,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vwifibus.sys -- (vwifibus)
DRV - [2009.07.14 01:52:00 | 000,163,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\1394ohci.sys -- (1394ohci)
DRV - [2009.07.14 01:51:35 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\umpass.sys -- (UmPass)
DRV - [2009.07.14 01:51:23 | 000,080,640 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2009.07.14 01:51:08 | 000,004,096 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mshidkmdf.sys -- (mshidkmdf)
DRV - [2009.07.14 01:46:55 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MTConfig.sys -- (MTConfig)
DRV - [2009.07.14 01:45:26 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CompositeBus.sys -- (CompositeBus)
DRV - [2009.07.14 01:36:52 | 000,050,176 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\appid.sys -- (AppID)
DRV - [2009.07.14 01:33:50 | 000,026,624 | ---- | M] (Microsoft Corporation) [Kernel | Unknown | Stopped] -- C:\Windows\System32\drivers\scfilter.sys -- (scfilter)
DRV - [2009.07.14 01:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap)
DRV - [2009.07.14 01:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID)
DRV - [2009.07.14 01:24:05 | 000,032,256 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\discache.sys -- (discache)
DRV - [2009.07.14 01:19:21 | 000,021,504 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\HidBatt.sys -- (HidBatt)
DRV - [2009.07.14 01:16:36 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\acpipmi.sys -- (AcpiPmi)
DRV - [2009.07.14 01:11:04 | 000,052,736 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdppm.sys -- (AmdPPM)
DRV - [2009.07.14 00:54:14 | 000,026,624 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.14 00:53:33 | 000,012,160 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbMdm.sys -- (BrUsbMdm)
DRV - [2009.07.14 00:53:33 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbSer.sys -- (BrUsbSer)
DRV - [2009.07.14 00:53:32 | 000,062,336 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrSerWdm.sys -- (BrSerWdm)
DRV - [2009.07.14 00:53:28 | 000,013,568 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltLo.sys -- (BrFiltLo)
DRV - [2009.07.14 00:53:28 | 000,005,248 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltUp.sys -- (BrFiltUp)
DRV - [2009.07.14 00:02:50 | 000,211,456 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\e1e6032.sys -- (e1express) Intel(R)
DRV - [2009.07.14 00:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\b57nd60x.sys -- (b57nd60x)
DRV - [2009.07.14 00:02:48 | 003,100,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\evbdx.sys -- (ebdrv)
DRV - [2009.07.14 00:02:48 | 000,430,080 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\bxvbdx.sys -- (b06bdrv)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E6 0A A4 3B 0A 0C CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.08.05 21:08:43 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.08.05 21:22:05 | 000,000,000 | ---D | M]
 
[2010.08.05 22:43:32 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Extensions
[2010.02.07 13:22:32 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\48v6lc1q.Standard-Benutzer\extensions
[2010.02.07 13:22:32 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\48v6lc1q.Standard-Benutzer\extensions\moveplayer@movenetworks.com
[2010.02.07 13:22:32 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\48v6lc1q.Standard-Benutzer\extensions\searchrecs@veoh.com
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\82lye7n6.default\extensions
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\82lye7n6.default\extensions\searchrecs@veoh.com
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\88eh1k4e.default\extensions
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\88eh1k4e.default\extensions\searchrecs@veoh.com
[2010.08.04 18:35:04 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\k2ovctja.Salami\extensions
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\k2ovctja.Salami\extensions\moveplayer@movenetworks.com
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\k2ovctja.Salami\extensions\searchrecs@veoh.com
[2010.04.05 03:49:56 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\uhtinzu6.Koala\extensions
[2010.08.05 21:22:06 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.05 21:22:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.08.05 21:22:01 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.08.05 23:50:48 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - Startup: C:\Users\Crowley\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} hxxp://www.netgame.com/mplugin/mglaunch_USAv1005.cab (MGLaunch_v1004 Class)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.06 00:20:33 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Users\Crowley\Desktop\OTL.exe
[2010.08.05 23:53:05 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2010.08.05 23:50:53 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2010.08.05 23:45:13 | 000,000,000 | ---D | C] -- C:\ComboFix
[2010.08.05 23:44:34 | 000,212,480 | ---- | C] (SteelWerX) -- C:\Windows\SWXCACLS.exe
[2010.08.05 23:28:23 | 000,000,000 | -H-D | C] -- C:\Windows\PIF
[2010.08.05 21:22:21 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Java
[2010.08.05 21:22:05 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2010.08.05 21:22:05 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.08.05 21:22:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.08.05 21:22:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.08.05 21:22:01 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.08.05 21:16:39 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Desktop\Neuer Ordner
[2010.08.05 21:08:11 | 008,408,392 | ---- | C] (Mozilla) -- C:\Users\Crowley\Desktop\Firefox_Setup_3.6.8.exe
[2010.08.05 20:56:41 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2010.08.05 20:29:19 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Documents\Combofix log
[2010.08.05 20:19:08 | 000,031,232 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2010.08.05 20:19:07 | 000,161,792 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2010.08.05 20:19:07 | 000,136,704 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2010.08.05 20:17:40 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2010.08.05 20:16:25 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.08.05 20:04:40 | 000,000,000 | ---D | C] -- C:\Users\Crowley\AppData\Roaming\Malwarebytes
[2010.08.05 20:04:31 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.08.05 20:04:30 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.08.05 20:04:30 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.05 20:04:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.08.05 18:54:51 | 000,000,000 | ---D | C] -- C:\Users\Crowley\AppData\Roaming\SUPERAntiSpyware.com
[2010.08.05 18:54:51 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2010.08.05 18:54:48 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.08.05 16:56:01 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.03 13:47:48 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Documents\StarCraft II
[2010.08.03 13:47:48 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Blizzard Entertainment
[2010.08.03 13:47:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Blizzard Entertainment
[2010.08.02 14:29:34 | 000,000,000 | -HSD | C] -- C:\Users\Crowley\AppData\Roaming\lowsec
[2010.07.27 02:51:54 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Desktop\DS roms
[2010.07.26 01:44:08 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Desktop\3580_Final_Fantasy_Crystal_Chronicles_Echoes_of_Time_EUR_MULTi4_NDS-EXiMiUS
[2010.07.25 02:25:39 | 000,000,000 | ---D | C] -- C:\Programme\League of Legends
[2010.07.12 03:21:45 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Desktop\4969_Tetris_Party_Deluxe_USA_NDS-BAHAMUT
[3 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.06 00:22:00 | 001,835,008 | -HS- | M] () -- C:\Users\Crowley\NTUSER.DAT
[2010.08.06 00:20:35 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Users\Crowley\Desktop\OTL.exe
[2010.08.05 23:58:18 | 000,013,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.08.05 23:58:18 | 000,013,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.08.05 23:58:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.08.05 23:55:14 | 001,498,506 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.08.05 23:55:14 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.08.05 23:55:14 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.08.05 23:55:14 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.08.05 23:55:14 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.08.05 23:50:54 | 000,000,215 | ---- | M] () -- C:\Windows\system.ini
[2010.08.05 23:50:48 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2010.08.05 23:50:44 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.05 23:50:40 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.08.05 23:50:37 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.08.05 23:50:35 | 2616,643,584 | -HS- | M] () -- C:\hiberfil.sys
[2010.08.05 23:44:26 | 003,815,943 | R--- | M] () -- C:\Users\Crowley\Desktop\ComboFix.exe
[2010.08.05 21:22:48 | 009,004,063 | -H-- | M] () -- C:\Users\Crowley\AppData\Local\IconCache.db
[2010.08.05 21:22:01 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2010.08.05 21:22:01 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.08.05 21:22:01 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.08.05 21:22:01 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.08.05 21:08:44 | 000,001,885 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2010.08.05 21:08:27 | 008,408,392 | ---- | M] (Mozilla) -- C:\Users\Crowley\Desktop\Firefox_Setup_3.6.8.exe
[2010.08.05 20:04:33 | 000,000,979 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.05 18:54:49 | 000,001,961 | ---- | M] () -- C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.08.05 16:56:02 | 000,000,965 | ---- | M] () -- C:\Users\Crowley\Desktop\CCleaner.lnk
[2010.08.04 16:24:37 | 000,028,182 | ---- | M] () -- C:\Users\Crowley\Documents\englisch.odt
[2010.08.03 21:44:22 | 000,030,985 | ---- | M] () -- C:\Users\Crowley\Documents\Kontra.odt
[2010.08.03 13:55:41 | 000,000,804 | ---- | M] () -- C:\Users\Public\Desktop\StarCraft II.lnk
[2010.08.01 07:31:34 | 000,000,603 | ---- | M] () -- C:\Users\Crowley\Documents\aionmemo_323c7255.dat
[2010.07.30 02:10:56 | 000,028,180 | ---- | M] () -- C:\Users\Crowley\Documents\Biologie 2.0.odt
[2010.07.28 20:16:32 | 004,012,473 | ---- | M] () -- C:\Users\Crowley\Desktop\901.3 LBH.pdf
[2010.07.25 02:31:51 | 000,000,783 | ---- | M] () -- C:\Users\Public\Desktop\League of Legends.lnk
[2010.07.22 17:20:09 | 000,016,871 | ---- | M] () -- C:\Users\Crowley\Documents\Grillkarte.odt
[2010.07.13 21:33:33 | 000,041,694 | ---- | M] () -- C:\Users\Crowley\Documents\Grillfest.odt
[3 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.05 20:19:08 | 000,077,312 | ---- | C] () -- C:\Windows\MBR.exe
[2010.08.05 20:19:07 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2010.08.05 20:19:07 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2010.08.05 20:19:07 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2010.08.05 20:19:07 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2010.08.05 20:04:33 | 000,000,979 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.05 18:54:49 | 000,001,961 | ---- | C] () -- C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.08.05 18:48:19 | 003,815,943 | R--- | C] () -- C:\Users\Crowley\Desktop\ComboFix.exe
[2010.08.05 16:56:02 | 000,000,965 | ---- | C] () -- C:\Users\Crowley\Desktop\CCleaner.lnk
[2010.08.05 16:29:44 | 000,001,885 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2010.08.03 23:29:14 | 000,028,182 | ---- | C] () -- C:\Users\Crowley\Documents\englisch.odt
[2010.08.03 16:12:19 | 000,030,985 | ---- | C] () -- C:\Users\Crowley\Documents\Kontra.odt
[2010.08.03 13:47:48 | 000,000,804 | ---- | C] () -- C:\Users\Public\Desktop\StarCraft II.lnk
[2010.07.29 23:26:24 | 000,028,180 | ---- | C] () -- C:\Users\Crowley\Documents\Biologie 2.0.odt
[2010.07.28 20:16:19 | 004,012,473 | ---- | C] () -- C:\Users\Crowley\Desktop\901.3 LBH.pdf
[2010.07.25 02:31:51 | 000,000,783 | ---- | C] () -- C:\Users\Public\Desktop\League of Legends.lnk
[2010.07.20 16:55:07 | 000,016,871 | ---- | C] () -- C:\Users\Crowley\Documents\Grillkarte.odt
[2010.07.13 21:33:32 | 000,041,694 | ---- | C] () -- C:\Users\Crowley\Documents\Grillfest.odt
[2010.07.12 15:47:24 | 013,859,784 | ---- | C] () -- C:\Users\Crowley\Desktop\Tetris.nds
[2010.07.10 23:20:59 | 033,554,432 | ---- | C] () -- C:\Users\Crowley\Desktop\Puzzle 2 (U) [PROPER].nds
[2010.06.01 16:15:23 | 000,000,097 | ---- | C] () -- C:\Windows\System32\PICSDK.ini
[2010.04.05 02:53:33 | 000,000,262 | ---- | C] () -- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
[2010.02.07 05:13:58 | 000,085,504 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2009.08.16 11:08:36 | 000,178,176 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.05.29 16:52:26 | 000,204,800 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2009.05.29 16:47:06 | 000,881,664 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008.10.28 18:40:48 | 000,173,552 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat
[2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll
[2007.02.05 20:05:26 | 000,000,038 | ---- | C] () -- C:\Windows\AviSplitter.INI
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:BEB15613
< End of report >

--- --- ---

Ich glaub das wars erstmal - hoffe ich hab alles richtig gemacht ^^"

Wie gesagt alles was durch die Vorgänge entfernt wurde hat bei meinem Problem leider nicht geholfen.

mfg
Daniel

Swisstreasure · 06.08.2010, 01:07

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Gmer ist geeignet für => NT/W2K/XP/VISTA (nur 32Bit).
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.

Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

ATTFilter

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
Wenn der Scan fertig ist, bleibt die Zeile leer.
Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Meltas · 06.08.2010, 04:27

ok danke schonmal!

hier gleich mal der GMER log.

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-06 05:18:57
Windows 6.1.7600 
Running: 5tw9fxy2.exe; Driver: C:\Users\Crowley\AppData\Local\Temp\pwtdafob.sys


---- System - GMER 1.0.15 ----

SSDT            82906EE4                                                                                              ZwCreateThread
SSDT            82906ED0                                                                                              ZwOpenProcess
SSDT            82906ED5                                                                                              ZwOpenThread
SSDT            82906EDF                                                                                              ZwTerminateProcess

INT 0x1F        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341CAF8
INT 0x37        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341C104
INT 0xC1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341C3F4
INT 0xD1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              83404634
INT 0xD2        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              83404898
INT 0xDF        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341C1DC
INT 0xE1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341C958
INT 0xE3        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341C6F8
INT 0xFD        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341CF2C
INT 0xFE        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)              8341D1A8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwSaveKeyEx + 13B1                                                                       830378E9 1 Byte  [06]
.text           ntoskrnl.exe!KiDispatchInterrupt + 5A2                                                                830573D2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntoskrnl.exe!KeRemoveQueueEx + 14C3                                                                   8305E790 4 Bytes  [E4, 6E, 90, 82]
.text           ntoskrnl.exe!KeRemoveQueueEx + 165F                                                                   8305E92C 4 Bytes  [D0, 6E, 90, 82]
.text           ntoskrnl.exe!KeRemoveQueueEx + 167F                                                                   8305E94C 4 Bytes  [D5, 6E, 90, 82]
.text           ntoskrnl.exe!KeRemoveQueueEx + 192F                                                                   8305EBFC 4 Bytes  [DF, 6E, 90, 82]
.text           peauth.sys                                                                                            901E4C9D 28 Bytes  [D5, DB, B3, 6F, D5, BF, DB, ...]
.text           peauth.sys                                                                                            901E4CC1 28 Bytes  [D5, DB, B3, 6F, D5, BF, DB, ...]
PAGE            peauth.sys                                                                                            901EAB9B 72 Bytes  [C9, 18, 06, 56, F0, 23, 1E, ...]
PAGE            peauth.sys                                                                                            901EABEC 111 Bytes  [19, 12, A8, A0, B6, 4B, 93, ...]
PAGE            peauth.sys                                                                                            901EAE20 101 Bytes  JMP 7E019649 
PAGE            ...                                                                                                   
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                   9038C000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                   9038C123 629 Bytes  [75, 38, 90, FE, 05, 34, 75, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                   9038C399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                   9038C3FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 543B                                                                   9038C4AB 2228 Bytes  [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE            ...                                                                                                   

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004a                                                                     halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                   0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                   0
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                0x80 0xCC 0xE9 0x4B ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0x80 0xCC 0xE9 0x4B ...

---- EOF - GMER 1.0.15 ----

Meltas · 07.08.2010, 18:58

War das jetzt so ok? wenn ich noch irgendwas anderes posten soll einfach bescheid sagen ^^

Auf jeden Fall schonmal danke für die Hilfe

mfg
Daniel

Meltas · 10.08.2010, 00:28

Seit sich heute Avira upgedated hat bekomme ich eine neue Virusmeldung -

Zitat:

In der Datei 'C:\Windows\System32\wininit.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.96256.30' [trojan] gefunden.

Combofix hat ja in einem Scan auch schon gemeldet das er die Datei angeblich gefixt hat was aber wohl nicht der Fall ist...

Will ja nicht nerven und mir ist natürlich bewusst das ihr das alle in eurer Freizeit macht aber ich würde mich wenigstens über eine Rückmeldung freuen ^^" Denke nach 3 tagen warten kann man nochmal nachfragen ^^"

mfg

Swisstreasure · 11.08.2010, 06:24

Sorry für die Wartezeit. Dein Thread ging wohl unter

Werde heute Abend die nächsten Schritte posten

Swisstreasure · 11.08.2010, 17:27

Schritt 1

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Schritt 2

Erneuter Systemscan mit OTL

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in Code-Tags hier in den Thread.

Meltas · 11.08.2010, 19:17

Super endlich gehts weiter - danke!!

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Professional
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	ECS
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		ECS
System Product Name:		P35T-A
Logical Drives Mask:		0x000003fc

Kernel Drivers (total 190):
  0x83048000 \SystemRoot\system32\ntoskrnl.exe
  0x83011000 \SystemRoot\system32\halmacpi.dll
  0x80BAE000 \SystemRoot\system32\kdcom.dll
  0x8C40D000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x8C485000 \SystemRoot\system32\PSHED.dll
  0x8C496000 \SystemRoot\system32\BOOTVID.dll
  0x8C49E000 \SystemRoot\system32\CLFS.SYS
  0x8C4E0000 \SystemRoot\system32\CI.dll
  0x8C58B000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8C5FC000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x8C60A000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8C652000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x8C65B000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8C663000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x8C66E000 \SystemRoot\system32\DRIVERS\pci.sys
  0x8C698000 \SystemRoot\System32\drivers\partmgr.sys
  0x8C6A9000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x8C6B9000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8C704000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x8C70B000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x8C719000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8C72F000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x8C738000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x8C75B000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x8C764000 \SystemRoot\system32\drivers\fltmgr.sys
  0x8C798000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8C831000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8C960000 \SystemRoot\System32\Drivers\msrpc.sys
  0x8C98B000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8C99E000 \SystemRoot\System32\Drivers\cng.sys
  0x8C9FB000 \SystemRoot\System32\drivers\pcw.sys
  0x8CA09000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8CA12000 \SystemRoot\system32\drivers\ndis.sys
  0x8CAC9000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8CB07000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8CC05000 \SystemRoot\System32\drivers\tcpip.sys
  0x8CD4E000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8CD7F000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x8CD88000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x8CDC7000 \SystemRoot\System32\Drivers\spldr.sys
  0x8CDCF000 \SystemRoot\System32\drivers\rdyboost.sys
  0x8CDFC000 \SystemRoot\System32\Drivers\mup.sys
  0x8CE0C000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x8CE14000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x8CE46000 \SystemRoot\system32\DRIVERS\disk.sys
  0x8CE57000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x8CEAE000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8CECD000 \SystemRoot\System32\Drivers\Null.SYS
  0x8CED4000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8CEDB000 \SystemRoot\System32\drivers\vga.sys
  0x8CEE7000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8CF08000 \SystemRoot\System32\drivers\watchdog.sys
  0x8CF15000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8CF1D000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8CF25000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x8CF2D000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8CF38000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8CF46000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8CF5D000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8CF68000 \SystemRoot\system32\drivers\afd.sys
  0x8CFC2000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8CFF4000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x8CB2C000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8CB4B000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8CB59000 \SystemRoot\system32\DRIVERS\serial.sys
  0x8CB73000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8CB86000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8CB96000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x8CB9C000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
  0x8CBBE000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
  0x8C7A9000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8CBC4000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x8CBCE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8CBD8000 \SystemRoot\System32\drivers\discache.sys
  0x9280C000 \SystemRoot\system32\drivers\csc.sys
  0x92870000 \SystemRoot\System32\Drivers\dfsc.sys
  0x92888000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x92896000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x928B2000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
  0x928B4000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x928D5000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x9340A000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
  0x93F16000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
  0x93F18000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x928E7000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x92920000 \SystemRoot\system32\DRIVERS\e1e6032.sys
  0x93FCF000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x92958000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x93FDA000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x929A3000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x929C2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x93FE9000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x93FF6000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x929DA000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x929E7000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x929F9000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x92A11000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x92A1C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x92A3E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x92A56000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x92A6D000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x93400000 \SystemRoot\system32\DRIVERS\hamachi.sys
  0x92A84000 \SystemRoot\system32\DRIVERS\rdpbus.sys
  0x92A8E000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x93405000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x92A9B000 \SystemRoot\system32\DRIVERS\ks.sys
  0x92ACF000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x92ADD000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x92B21000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x92B32000 \SystemRoot\system32\drivers\HdAudio.sys
  0x92B82000 \SystemRoot\system32\drivers\portcls.sys
  0x92BB1000 \SystemRoot\system32\drivers\drmk.sys
  0x974A0000 \SystemRoot\System32\win32k.sys
  0x92BCA000 \SystemRoot\System32\drivers\Dxapi.sys
  0x92BD4000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0x92BEA000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x92800000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x92BF7000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x8CE7C000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x8CE8D000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x97700000 \SystemRoot\System32\TSDDD.dll
  0x8CBE4000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x93407000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x97730000 \SystemRoot\System32\cdd.dll
  0x8CE98000 \SystemRoot\system32\drivers\usbaudio.sys
  0x8C800000 \SystemRoot\system32\drivers\luafv.sys
  0x8C81B000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x82011000 \SystemRoot\system32\drivers\WudfPf.sys
  0x8202B000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x82042000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x8204D000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x82060000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x82067000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x82072000 \SystemRoot\system32\DRIVERS\usbscan.sys
  0x82080000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0x8208B000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x8209B000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x820AE000 \SystemRoot\system32\drivers\HTTP.sys
  0x82133000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x8214C000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x8215E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x82181000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x821BC000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x821EF000 \SystemRoot\system32\drivers\peauth.sys
  0x82286000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x82290000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x822B1000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x822BE000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x8230D000 \SystemRoot\System32\DRIVERS\srv.sys
  0x8235E000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
  0x823E9000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x76EF0000 \Windows\System32\ntdll.dll
  0x47A60000 \Windows\System32\smss.exe
  0x77130000 \Windows\System32\apisetschema.dll
  0x00FD0000 \Windows\System32\autochk.exe
  0x77090000 \Windows\System32\oleaut32.dll
  0x76E60000 \Windows\System32\clbcatq.dll
  0x77070000 \Windows\System32\sechost.dll
  0x77030000 \Windows\System32\ws2_32.dll
  0x76E30000 \Windows\System32\imagehlp.dll
  0x76CD0000 \Windows\System32\ole32.dll
  0x76C20000 \Windows\System32\msvcrt.dll
  0x75FD0000 \Windows\System32\shell32.dll
  0x75F80000 \Windows\System32\Wldap32.dll
  0x75F70000 \Windows\System32\lpk.dll
  0x75EA0000 \Windows\System32\user32.dll
  0x75D00000 \Windows\System32\setupapi.dll
  0x75CF0000 \Windows\System32\psapi.dll
  0x75BF0000 \Windows\System32\wininet.dll
  0x75BD0000 \Windows\System32\imm32.dll
  0x759D0000 \Windows\System32\iertutil.dll
  0x759C0000 \Windows\System32\nsi.dll
  0x75880000 \Windows\System32\urlmon.dll
  0x757B0000 \Windows\System32\msctf.dll
  0x75710000 \Windows\System32\advapi32.dll
  0x75660000 \Windows\System32\rpcrt4.dll
  0x75600000 \Windows\System32\shlwapi.dll
  0x75580000 \Windows\System32\comdlg32.dll
  0x754E0000 \Windows\System32\usp10.dll
  0x754D0000 \Windows\System32\normaliz.dll
  0x75470000 \Windows\System32\difxapi.dll
  0x75390000 \Windows\System32\kernel32.dll
  0x75340000 \Windows\System32\gdi32.dll
  0x75320000 \Windows\System32\devobj.dll
  0x752F0000 \Windows\System32\cfgmgr32.dll
  0x752A0000 \Windows\System32\KernelBase.dll
  0x75180000 \Windows\System32\crypt32.dll
  0x750F0000 \Windows\System32\comctl32.dll
  0x750C0000 \Windows\System32\wintrust.dll
  0x750B0000 \Windows\System32\msasn1.dll

Processes (total 45):
       0 System Idle Process
       4 System
     224 C:\Windows\System32\smss.exe
     316 csrss.exe
     364 C:\Windows\System32\wininit.exe
     376 csrss.exe
     424 C:\Windows\System32\services.exe
     440 C:\Windows\System32\lsass.exe
     448 C:\Windows\System32\lsm.exe
     504 C:\Windows\System32\winlogon.exe
     592 C:\Windows\System32\svchost.exe
     672 C:\Windows\System32\nvvsvc.exe
     712 C:\Windows\System32\svchost.exe
     796 C:\Windows\System32\svchost.exe
     836 C:\Windows\System32\svchost.exe
     872 C:\Windows\System32\svchost.exe
    1048 C:\Windows\System32\svchost.exe
    1144 C:\Windows\System32\svchost.exe
    1248 C:\Windows\System32\nvvsvc.exe
    1320 C:\Windows\System32\spoolsv.exe
    1444 C:\Windows\System32\dwm.exe
    1456 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1504 C:\Windows\System32\taskhost.exe
    1584 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1604 C:\Windows\System32\svchost.exe
    1740 C:\Windows\explorer.exe
    1832 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    1868 C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    1876 C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
    1888 C:\Program Files\Common Files\Java\Java Update\jusched.exe
    1484 C:\Windows\System32\svchost.exe
    1816 C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
    1236 C:\Windows\System32\svchost.exe
    2524 C:\Windows\System32\SearchIndexer.exe
    2972 C:\Windows\System32\svchost.exe
    3008 WUDFHost.exe
    3156 C:\Program Files\Windows Media Player\wmpnetwk.exe
    3860 C:\Windows\System32\svchost.exe
    2788 C:\Windows\System32\svchost.exe
    1592 C:\Windows\System32\audiodg.exe
    2064 C:\Windows\System32\SearchProtocolHost.exe
    1748 C:\Windows\System32\SearchFilterHost.exe
     196 C:\Users\Crowley\Desktop\MBRCheck.exe
    2892 C:\Windows\System32\conhost.exe
     188 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000049`3e2ec800  (NTFS)

PhysicalDrive0 Model Number: HitachiHDP725050GLA360, Rev: GM4OA52A

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive0   Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Code:

ATTFilter

OTL logfile created on: 11.08.2010 20:11:39 - Run 2
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Users\Crowley\Desktop
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free
6,00 Gb Paging File | 6,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 292,97 Gb Total Space | 180,08 Gb Free Space | 61,47% Space Free | Partition Type: NTFS
Drive D: | 172,78 Gb Total Space | 69,06 Gb Free Space | 39,97% Space Free | Partition Type: NTFS
Unable to calculate disk information.
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: CROWLEY-PC
Current User Name: Crowley
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Crowley\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\wininit.exe ()
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Crowley\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\System32\sspicli.dll (Microsoft Corporation)
MOD - C:\Windows\System32\sechost.dll (Microsoft Corporation)
MOD - C:\Windows\System32\samcli.dll (Microsoft Corporation)
MOD - C:\Windows\System32\profapi.dll (Microsoft Corporation)
MOD - C:\Windows\System32\netutils.dll (Microsoft Corporation)
MOD - C:\Windows\System32\KernelBase.dll (Microsoft Corporation)
MOD - C:\Windows\System32\dwmapi.dll (Microsoft Corporation)
MOD - C:\Windows\System32\devobj.dll (Microsoft Corporation)
MOD - C:\Windows\System32\cryptbase.dll (Microsoft Corporation)
MOD - C:\Windows\System32\cfgmgr32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Hamachi2Svc) -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (DAUpdaterSvc) -- C:\Games\Dragon Age\bin_ship\daupdatersvc.service.exe (BioWare)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (WwanSvc) -- C:\Windows\System32\wwansvc.dll (Microsoft Corporation)
SRV - (WbioSrvc) -- C:\Windows\System32\wbiosrvc.dll (Microsoft Corporation)
SRV - (Power) -- C:\Windows\System32\umpo.dll (Microsoft Corporation)
SRV - (Themes) -- C:\Windows\System32\themeservice.dll (Microsoft Corporation)
SRV - (sppuinotify) -- C:\Windows\System32\sppuinotify.dll (Microsoft Corporation)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (RpcEptMapper) -- C:\Windows\System32\RpcEpMap.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (PNRPsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation)
SRV - (p2pimsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation)
SRV - (HomeGroupProvider) -- C:\Windows\System32\provsvc.dll (Microsoft Corporation)
SRV - (PNRPAutoReg) -- C:\Windows\System32\pnrpauto.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (HomeGroupListener) -- C:\Windows\System32\ListSvc.dll (Microsoft Corporation)
SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation)
SRV - (Dhcp) -- C:\Windows\System32\dhcpcore.dll (Microsoft Corporation)
SRV - (defragsvc) -- C:\Windows\System32\defragsvc.dll (Microsoft Corporation)
SRV - (BDESVC) -- C:\Windows\System32\bdesvc.dll (Microsoft Corporation)
SRV - (AxInstSV) ActiveX-Installer (AxInstSV) -- C:\Windows\System32\AxInstSv.dll (Microsoft Corporation)
SRV - (AppIDSvc) -- C:\Windows\System32\appidsvc.dll (Microsoft Corporation)
SRV - (sppsvc) -- C:\Windows\System32\sppsvc.exe (Microsoft Corporation)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (EagleNT) -- C:\Windows\System32\drivers\EagleNT.sys File not found
DRV - (catchme) -- C:\Users\Crowley\AppData\Local\Temp\catchme.sys File not found
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (sptd) -- C:\Windows\System32\drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (hamachi) -- C:\Windows\System32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (KSecPkg) -- C:\Windows\System32\Drivers\ksecpkg.sys (Microsoft Corporation)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (cmdide) -- C:\Windows\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (adpahci) -- C:\Windows\system32\DRIVERS\adpahci.sys (Adaptec, Inc.)
DRV - (adp94xx) -- C:\Windows\system32\DRIVERS\adp94xx.sys (Adaptec, Inc.)
DRV - (amdsbs) -- C:\Windows\system32\DRIVERS\amdsbs.sys (AMD Technologies Inc.)
DRV - (adpu320) -- C:\Windows\system32\DRIVERS\adpu320.sys (Adaptec, Inc.)
DRV - (arcsas) -- C:\Windows\system32\DRIVERS\arcsas.sys (Adaptec, Inc.)
DRV - (amdsata) -- C:\Windows\system32\DRIVERS\amdsata.sys (Advanced Micro Devices)
DRV - (arc) -- C:\Windows\system32\DRIVERS\arc.sys (Adaptec, Inc.)
DRV - (amdxata) -- C:\Windows\system32\DRIVERS\amdxata.sys (Advanced Micro Devices)
DRV - (aliide) -- C:\Windows\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
DRV - (nvstor) -- C:\Windows\system32\DRIVERS\nvstor.sys (NVIDIA Corporation)
DRV - (nvraid) -- C:\Windows\system32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nfrd960) -- C:\Windows\system32\DRIVERS\nfrd960.sys (IBM Corporation)
DRV - (LSI_SAS) -- C:\Windows\system32\DRIVERS\lsi_sas.sys (LSI Corporation)
DRV - (iaStorV) -- C:\Windows\system32\DRIVERS\iaStorV.sys (Intel Corporation)
DRV - (MegaSR) -- C:\Windows\system32\DRIVERS\MegaSR.sys (LSI Corporation, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\DRIVERS\lsi_scsi.sys (LSI Corporation)
DRV - (LSI_FC) -- C:\Windows\system32\DRIVERS\lsi_fc.sys (LSI Corporation)
DRV - (LSI_SAS2) -- C:\Windows\system32\DRIVERS\lsi_sas2.sys (LSI Corporation)
DRV - (iirsp) -- C:\Windows\system32\DRIVERS\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (megasas) -- C:\Windows\system32\DRIVERS\megasas.sys (LSI Corporation)
DRV - (hwpolicy) -- C:\Windows\System32\drivers\hwpolicy.sys (Microsoft Corporation)
DRV - (elxstor) -- C:\Windows\system32\DRIVERS\elxstor.sys (Emulex)
DRV - (aic78xx) -- C:\Windows\system32\DRIVERS\djsvs.sys (Adaptec, Inc.)
DRV - (HpSAMD) -- C:\Windows\system32\DRIVERS\HpSAMD.sys (Hewlett-Packard Company)
DRV - (FsDepends) -- C:\Windows\System32\drivers\fsdepends.sys (Microsoft Corporation)
DRV - (vsmraid) -- C:\Windows\system32\DRIVERS\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation)
DRV - (vhdmp) -- C:\Windows\system32\DRIVERS\vhdmp.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation)
DRV - (vdrvroot) -- C:\Windows\system32\DRIVERS\vdrvroot.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation)
DRV - (WIMMount) -- C:\Windows\System32\drivers\wimmount.sys (Microsoft Corporation)
DRV - (viaide) -- C:\Windows\system32\DRIVERS\viaide.sys (VIA Technologies, Inc.)
DRV - (ql2300) -- C:\Windows\system32\DRIVERS\ql2300.sys (QLogic Corporation)
DRV - (rdyboost) -- C:\Windows\System32\drivers\rdyboost.sys (Microsoft Corporation)
DRV - (ql40xx) -- C:\Windows\system32\DRIVERS\ql40xx.sys (QLogic Corporation)
DRV - (SiSRaid4) -- C:\Windows\system32\DRIVERS\sisraid4.sys (Silicon Integrated Systems)
DRV - (pcw) -- C:\Windows\System32\drivers\pcw.sys (Microsoft Corporation)
DRV - (SiSRaid2) -- C:\Windows\system32\DRIVERS\SiSRaid2.sys (Silicon Integrated Systems Corp.)
DRV - (stexstor) -- C:\Windows\system32\DRIVERS\stexstor.sys (Promise Technology)
DRV - (CNG) -- C:\Windows\System32\Drivers\cng.sys (Microsoft Corporation)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\System32\Drivers\Brserid.sys (Brother Industries Ltd.)
DRV - (rdpbus) -- C:\Windows\System32\drivers\rdpbus.sys (Microsoft Corporation)
DRV - (RDPREFMP) -- C:\Windows\System32\drivers\RDPREFMP.sys (Microsoft Corporation)
DRV - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\System32\drivers\agilevpn.sys (Microsoft Corporation)
DRV - (WfpLwf) -- C:\Windows\System32\drivers\wfplwf.sys (Microsoft Corporation)
DRV - (NdisCap) -- C:\Windows\System32\drivers\ndiscap.sys (Microsoft Corporation)
DRV - (vwifibus) -- C:\Windows\System32\drivers\vwifibus.sys (Microsoft Corporation)
DRV - (1394ohci) -- C:\Windows\system32\DRIVERS\1394ohci.sys (Microsoft Corporation)
DRV - (UmPass) -- C:\Windows\system32\DRIVERS\umpass.sys (Microsoft Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\Windows\System32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (mshidkmdf) -- C:\Windows\System32\drivers\mshidkmdf.sys (Microsoft Corporation)
DRV - (MTConfig) -- C:\Windows\system32\DRIVERS\MTConfig.sys (Microsoft Corporation)
DRV - (CompositeBus) -- C:\Windows\System32\drivers\CompositeBus.sys (Microsoft Corporation)
DRV - (AppID) -- C:\Windows\system32\drivers\appid.sys (Microsoft Corporation)
DRV - (scfilter) -- C:\Windows\System32\drivers\scfilter.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation)
DRV - (discache) -- C:\Windows\System32\drivers\discache.sys (Microsoft Corporation)
DRV - (HidBatt) -- C:\Windows\system32\DRIVERS\HidBatt.sys (Microsoft Corporation)
DRV - (AcpiPmi) -- C:\Windows\system32\DRIVERS\acpipmi.sys (Microsoft Corporation)
DRV - (AmdPPM) -- C:\Windows\system32\DRIVERS\amdppm.sys (Microsoft Corporation)
DRV - (hcw85cir) -- C:\Windows\system32\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (BrUsbMdm) -- C:\Windows\System32\Drivers\BrUsbMdm.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\System32\Drivers\BrUsbSer.sys (Brother Industries Ltd.)
DRV - (BrSerWdm) -- C:\Windows\System32\Drivers\BrSerWdm.sys (Brother Industries Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\DRIVERS\BrFiltLo.sys (Brother Industries, Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\DRIVERS\BrFiltUp.sys (Brother Industries, Ltd.)
DRV - (e1express) Intel(R) -- C:\Windows\System32\drivers\e1e6032.sys (Intel Corporation)
DRV - (b57nd60x) -- C:\Windows\System32\drivers\b57nd60x.sys (Broadcom Corporation)
DRV - (ebdrv) -- C:\Windows\system32\DRIVERS\evbdx.sys (Broadcom Corporation)
DRV - (b06bdrv) -- C:\Windows\system32\DRIVERS\bxvbdx.sys (Broadcom Corporation)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E6 0A A4 3B 0A 0C CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.08.08 23:02:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.08.11 04:48:43 | 000,000,000 | ---D | M]
 
[2010.08.08 18:04:42 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Extensions
[2010.02.07 13:22:32 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\48v6lc1q.Standard-Benutzer\extensions
[2010.02.07 13:22:32 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\48v6lc1q.Standard-Benutzer\extensions\moveplayer@movenetworks.com
[2010.02.07 13:22:32 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\48v6lc1q.Standard-Benutzer\extensions\searchrecs@veoh.com
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\82lye7n6.default\extensions
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\82lye7n6.default\extensions\searchrecs@veoh.com
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\88eh1k4e.default\extensions
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\88eh1k4e.default\extensions\searchrecs@veoh.com
[2010.08.04 18:35:04 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\k2ovctja.Salami\extensions
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\k2ovctja.Salami\extensions\moveplayer@movenetworks.com
[2010.02.07 13:22:33 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\k2ovctja.Salami\extensions\searchrecs@veoh.com
[2010.04.05 03:49:56 | 000,000,000 | ---D | M] -- C:\Users\Crowley\AppData\Roaming\mozilla\Firefox\Profiles\uhtinzu6.Koala\extensions
[2010.08.11 04:48:44 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.11 04:48:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.08.11 04:48:39 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.08.10 00:46:59 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} hxxp://www.netgame.com/mplugin/mglaunch_USAv1005.cab (MGLaunch_v1004 Class)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.11 04:48:50 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Java
[2010.08.11 04:48:43 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.08.11 04:48:43 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.08.11 04:48:43 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.08.11 04:48:39 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.08.10 00:49:43 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2010.08.10 00:49:28 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2010.08.10 00:40:36 | 000,000,000 | ---D | C] -- C:\ComboFix
[2010.08.10 00:40:14 | 000,212,480 | ---- | C] (SteelWerX) -- C:\Windows\SWXCACLS.exe
[2010.08.08 18:04:33 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2010.08.06 06:13:29 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2010.08.06 05:08:10 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2010.08.06 00:37:27 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Users\Crowley\Desktop\HiJackThis204.exe
[2010.08.06 00:20:33 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Users\Crowley\Desktop\OTL.exe
[2010.08.05 23:28:23 | 000,000,000 | -H-D | C] -- C:\Windows\PIF
[2010.08.05 21:22:05 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2010.08.05 21:16:39 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Desktop\Neuer Ordner
[2010.08.05 21:08:11 | 008,408,392 | ---- | C] (Mozilla) -- C:\Users\Crowley\Desktop\Firefox_Setup_3.6.8.exe
[2010.08.05 20:29:19 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Documents\Combofix log
[2010.08.05 20:19:08 | 000,031,232 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2010.08.05 20:19:07 | 000,161,792 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2010.08.05 20:19:07 | 000,136,704 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2010.08.05 20:17:40 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2010.08.05 20:16:25 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.08.05 20:04:40 | 000,000,000 | ---D | C] -- C:\Users\Crowley\AppData\Roaming\Malwarebytes
[2010.08.05 20:04:31 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.08.05 20:04:30 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.08.05 20:04:30 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.05 20:04:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.08.05 18:54:51 | 000,000,000 | ---D | C] -- C:\Users\Crowley\AppData\Roaming\SUPERAntiSpyware.com
[2010.08.05 18:54:51 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2010.08.05 18:54:48 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.08.05 16:56:01 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.03 13:47:48 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Documents\StarCraft II
[2010.08.03 13:47:48 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Blizzard Entertainment
[2010.08.03 13:47:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Blizzard Entertainment
[2010.08.02 14:29:34 | 000,000,000 | -HSD | C] -- C:\Users\Crowley\AppData\Roaming\lowsec
[2010.07.27 02:51:54 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Desktop\DS roms
[2010.07.26 01:44:08 | 000,000,000 | ---D | C] -- C:\Users\Crowley\Desktop\3580_Final_Fantasy_Crystal_Chronicles_Echoes_of_Time_EUR_MULTi4_NDS-EXiMiUS
[2010.07.25 02:25:39 | 000,000,000 | ---D | C] -- C:\Programme\League of Legends
[6 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.11 20:12:15 | 001,835,008 | -HS- | M] () -- C:\Users\Crowley\NTUSER.DAT
[2010.08.11 20:07:57 | 000,080,384 | ---- | M] () -- C:\Users\Crowley\Desktop\MBRCheck.exe
[2010.08.11 19:58:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.08.11 18:08:24 | 000,013,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.08.11 18:08:24 | 000,013,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.08.11 18:05:25 | 001,498,506 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.08.11 18:05:25 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.08.11 18:05:25 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.08.11 18:05:25 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.08.11 18:05:25 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.08.11 18:01:13 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.11 18:01:08 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.08.11 18:01:06 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.08.11 18:01:02 | 2616,643,584 | -HS- | M] () -- C:\hiberfil.sys
[2010.08.11 18:00:27 | 008,972,677 | -H-- | M] () -- C:\Users\Crowley\AppData\Local\IconCache.db
[2010.08.11 05:40:23 | 198,110,211 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.08.11 05:07:40 | 000,000,000 | ---- | M] () -- C:\Users\Crowley\defogger_reenable
[2010.08.11 05:07:12 | 000,050,477 | ---- | M] () -- C:\Users\Crowley\Desktop\Defogger.exe
[2010.08.11 04:48:39 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2010.08.11 04:48:39 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.08.11 04:48:39 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.08.11 04:48:39 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.08.11 04:36:11 | 000,000,036 | ---- | M] () -- C:\Users\Crowley\AppData\Local\housecall.guid.cache
[2010.08.10 03:06:14 | 000,029,798 | ---- | M] () -- C:\Users\Crowley\Documents\englisch.odt
[2010.08.10 00:47:21 | 000,000,215 | ---- | M] () -- C:\Windows\system.ini
[2010.08.10 00:46:59 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2010.08.09 23:17:17 | 003,817,918 | R--- | M] () -- C:\Users\Crowley\Desktop\ComboFix.exe
[2010.08.08 23:02:40 | 000,001,885 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2010.08.06 05:02:00 | 000,293,376 | ---- | M] () -- C:\Users\Crowley\Desktop\5tw9fxy2.exe
[2010.08.06 00:37:28 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Users\Crowley\Desktop\HiJackThis204.exe
[2010.08.06 00:20:35 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Users\Crowley\Desktop\OTL.exe
[2010.08.05 21:08:27 | 008,408,392 | ---- | M] (Mozilla) -- C:\Users\Crowley\Desktop\Firefox_Setup_3.6.8.exe
[2010.08.05 20:04:33 | 000,000,979 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.05 18:54:49 | 000,001,961 | ---- | M] () -- C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.08.05 16:56:02 | 000,000,965 | ---- | M] () -- C:\Users\Crowley\Desktop\CCleaner.lnk
[2010.08.03 21:44:22 | 000,030,985 | ---- | M] () -- C:\Users\Crowley\Documents\Kontra.odt
[2010.08.03 13:55:41 | 000,000,804 | ---- | M] () -- C:\Users\Public\Desktop\StarCraft II.lnk
[2010.08.01 07:31:34 | 000,000,603 | ---- | M] () -- C:\Users\Crowley\Documents\aionmemo_323c7255.dat
[2010.07.30 02:10:56 | 000,028,180 | ---- | M] () -- C:\Users\Crowley\Documents\Biologie 2.0.odt
[2010.07.28 20:16:32 | 004,012,473 | ---- | M] () -- C:\Users\Crowley\Desktop\901.3 LBH.pdf
[2010.07.25 02:31:51 | 000,000,783 | ---- | M] () -- C:\Users\Public\Desktop\League of Legends.lnk
[2010.07.22 17:20:09 | 000,016,871 | ---- | M] () -- C:\Users\Crowley\Documents\Grillkarte.odt
[2010.07.13 21:33:33 | 000,041,694 | ---- | M] () -- C:\Users\Crowley\Documents\Grillfest.odt
[6 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.11 20:07:56 | 000,080,384 | ---- | C] () -- C:\Users\Crowley\Desktop\MBRCheck.exe
[2010.08.11 05:07:40 | 000,000,000 | ---- | C] () -- C:\Users\Crowley\defogger_reenable
[2010.08.11 05:07:12 | 000,050,477 | ---- | C] () -- C:\Users\Crowley\Desktop\Defogger.exe
[2010.08.11 04:36:11 | 000,000,036 | ---- | C] () -- C:\Users\Crowley\AppData\Local\housecall.guid.cache
[2010.08.11 03:47:58 | 198,110,211 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2010.08.06 05:02:00 | 000,293,376 | ---- | C] () -- C:\Users\Crowley\Desktop\5tw9fxy2.exe
[2010.08.05 20:19:08 | 000,077,312 | ---- | C] () -- C:\Windows\MBR.exe
[2010.08.05 20:19:07 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2010.08.05 20:19:07 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2010.08.05 20:19:07 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2010.08.05 20:19:07 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2010.08.05 20:04:33 | 000,000,979 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.05 18:54:49 | 000,001,961 | ---- | C] () -- C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.08.05 18:48:19 | 003,817,918 | R--- | C] () -- C:\Users\Crowley\Desktop\ComboFix.exe
[2010.08.05 16:56:02 | 000,000,965 | ---- | C] () -- C:\Users\Crowley\Desktop\CCleaner.lnk
[2010.08.05 16:29:44 | 000,001,885 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2010.08.03 23:29:14 | 000,029,798 | ---- | C] () -- C:\Users\Crowley\Documents\englisch.odt
[2010.08.03 16:12:19 | 000,030,985 | ---- | C] () -- C:\Users\Crowley\Documents\Kontra.odt
[2010.08.03 13:47:48 | 000,000,804 | ---- | C] () -- C:\Users\Public\Desktop\StarCraft II.lnk
[2010.07.29 23:26:24 | 000,028,180 | ---- | C] () -- C:\Users\Crowley\Documents\Biologie 2.0.odt
[2010.07.28 20:16:19 | 004,012,473 | ---- | C] () -- C:\Users\Crowley\Desktop\901.3 LBH.pdf
[2010.07.25 02:31:51 | 000,000,783 | ---- | C] () -- C:\Users\Public\Desktop\League of Legends.lnk
[2010.07.20 16:55:07 | 000,016,871 | ---- | C] () -- C:\Users\Crowley\Documents\Grillkarte.odt
[2010.07.13 21:33:32 | 000,041,694 | ---- | C] () -- C:\Users\Crowley\Documents\Grillfest.odt
[2010.06.01 16:15:23 | 000,000,097 | ---- | C] () -- C:\Windows\System32\PICSDK.ini
[2010.04.05 02:53:33 | 000,000,262 | ---- | C] () -- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
[2010.02.07 05:13:58 | 000,085,504 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2009.08.16 11:08:36 | 000,178,176 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.05.29 16:52:26 | 000,204,800 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2009.05.29 16:47:06 | 000,881,664 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008.10.28 18:40:48 | 000,173,552 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat
[2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll
[2007.02.05 20:05:26 | 000,000,038 | ---- | C] () -- C:\Windows\AviSplitter.INI
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:BEB15613
< End of report >

Code:

ATTFilter

OTL Extras logfile created on: 11.08.2010 20:11:39 - Run 2
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Users\Crowley\Desktop
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free
6,00 Gb Paging File | 6,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 292,97 Gb Total Space | 180,08 Gb Free Space | 61,47% Space Free | Partition Type: NTFS
Drive D: | 172,78 Gb Total Space | 69,06 Gb Free Space | 39,97% Space Free | Partition Type: NTFS
Unable to calculate disk information.
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: CROWLEY-PC
Current User Name: Crowley
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe ()
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome ()
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 ()
http [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome ()
https [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome ()
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 ()
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" ()
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{1C4551A6-4743-4093-91E4-1477CD655043}" = NVIDIA PhysX
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java(TM) 6 Update 16
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AA3D64E-9EC3-4B0F-AB91-5885AC55641F}" = Microsoft Games for Windows - LIVE 
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo Client
"{83729FE3-6785-476A-91F1-312D427B4522}" = League of Legends
"{8A74DEFD-A224-49CC-AB80-4E88BC730125}" = LogMeIn Hamachi
"{8C0CAA7A-3272-4991-A808-2C7559DE3409}" = Win7codecs
"{974C4B12-4D02-4879-85E0-61C95CC63E9E}" = Fallout 3
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{AEC81925-9C76-4707-84A9-40696C613ED3}" = Dragon Age: Origins
"{B194272D-1F92-46DF-99EB-8D5CE91CB4EC}" = Adobe AIR
"{B7A9964C-A9A7-4714-B494-50067238876E}" = Fantasy Earth Zero
"{BA26FFA5-6D47-47DB-BE56-34C357B5F8CC}" = Die Sims™ 3 Reiseabenteuer
"{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}" = Die Sims™ 3
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{EDB32FFB-FC1C-414B-BF8E-4645217E9AF2}" = League of Legends
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FD052FB9-FE90-4438-B355-15EDC89D8FB1}" = Microsoft Games for Windows - LIVE Redistributable
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Age of Mythology Expansion Pack 1.0" = Age of Mythology Gold
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Setup.divx.com" = DivX-Setup
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"Fallout 3 - Mothership Zeta Addon_is1" = Fallout 3 - Mothership Zeta Addon
"Google Chrome" = Google Chrome
"InstallShield_{B7A9964C-A9A7-4714-B494-50067238876E}" = Fantasy Earth Zero
"League of Legends_is1" = League of Legends
"LOCO" = LOCO EU
"LogMeIn Hamachi" = LogMeIn Hamachi
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"PokerStars" = PokerStars
"StarCraft II" = StarCraft II
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"uTorrent" = µTorrent
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.08.2010 23:16:56 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 10.08.2010 23:40:48 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 10.08.2010 23:40:48 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 11.08.2010 06:13:14 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 11.08.2010 06:13:14 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 11.08.2010 11:54:30 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 11.08.2010 11:54:30 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 11.08.2010 11:58:14 | Computer Name = Crowley-PC | Source = Google Update | ID = 20
Description = 
 
Error - 11.08.2010 12:01:22 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 11.08.2010 12:01:22 | Computer Name = Crowley-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
[ System Events ]
Error - 25.07.2010 02:04:39 | Computer Name = Crowley-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?25.?07.?2010 um 08:02:27 unerwartet heruntergefahren.
 
Error - 25.07.2010 19:45:25 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk6\DR6 gefunden.
 
Error - 25.07.2010 19:45:25 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk6\DR6 gefunden.
 
Error - 25.07.2010 19:45:26 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk6\DR6 gefunden.
 
Error - 26.07.2010 20:51:23 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\DR7 gefunden.
 
Error - 26.07.2010 20:51:24 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\DR7 gefunden.
 
Error - 26.07.2010 20:51:25 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\DR7 gefunden.
 
Error - 28.07.2010 18:18:50 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\DR7 gefunden.
 
Error - 28.07.2010 18:18:50 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\DR7 gefunden.
 
Error - 28.07.2010 18:18:51 | Computer Name = Crowley-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\DR7 gefunden.
 
 
< End of report >

Ich weiss aber nich warum diese Extra laufwerke angezeigt werden - ich hab sie mit defogger ausgeschalten - ich hab eh keine ahnung woher die kommen hab die seit dem ich den Computer gekauft habe ^^" und auch nach formatieren sind die immer wieder da

Swisstreasure · 11.08.2010, 21:39

Schritt 1

Filesharing

Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen.

Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren

Zitat:

uTorrent

Schritt 2

Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript:

Code:

ATTFilter

:OTL
PRC - C:\Windows\System32\wininit.exe ()
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:BEB15613
:Reg
:Files
C:\Windows\System32\wininit.exe
:Commands
[purity]
[emptytemp]

und füge es hier ein:
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Schritt 3

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

Schritt 4

Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während der Online-Scans deaktivieren:
Anti-Virus-Programm und Firewall.
Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
Während der Online-Scans auf andere Online-Aktivitäten verzichten.
Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button drücken.
- Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User: müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Remove found threads" und "Scan archives".
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

Meltas · 11.08.2010, 22:44

Schritt 2 Funktioniert bei mir einfach nicht - sobald ich auf Fix klicke kommt nen bluescreen und der PC stürzt ab....

Swisstreasure · 12.08.2010, 12:16

Dann mach einmal Schritt 3 bitte.

Meltas · 12.08.2010, 21:32

Schritt 3 Funktioniert auch nicht - sobald ich das Programm starte kommt schon ein Error (irgend ein DeviceIoError) und sobald ich scannen will kommen auch einige Error und es geht nicht los....

Kann es sein das das Programm unter Windows 7 nicht funktioniert?

Swisstreasure · 12.08.2010, 21:47

Schritt 1

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
Code:
ATTFilter
```
mbr.exe -t > C:\mbr.log & C:\mbr.log
         
```
(Enter drücken)
Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.

Schritt 2

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 3

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Meltas · 12.08.2010, 23:24

Combofix hat zwar gemeldet das es die Wininit.exe gefixt hat - aber avira meldete trotzdem das die datei infiziert ist....

hier die logs

Schritt 1

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys 
kernel: MBR read successfully
user & kernel MBR OK

Schritt 3

Code:

ATTFilter

ComboFix 10-08-12.02 - Crowley 13.08.2010   0:12.4.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3327.2570 [GMT 2:00]
ausgeführt von:: c:\users\Crowley\Desktop\C-Fix.exe
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\System32\wininit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-12 bis 2010-08-12  ))))))))))))))))))))))))))))))
.

2010-08-12 22:16 . 2010-08-12 22:16	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-08-12 22:16 . 2010-08-12 22:16	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-08-12 21:54 . 2010-08-12 21:53	77312	----a-w-	c:\windows\system32\mbr.exe
2010-08-11 22:52 . 2010-08-11 22:52	--------	d-----w-	C:\_OTL
2010-08-11 02:48 . 2010-08-11 02:48	--------	d-----w-	c:\program files\Common Files\Java
2010-08-05 18:04 . 2010-08-05 18:04	--------	d-----w-	c:\users\Crowley\AppData\Roaming\Malwarebytes
2010-08-05 18:04 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-05 18:04 . 2010-08-05 18:04	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-05 18:04 . 2010-08-05 18:04	--------	d-----w-	c:\programdata\Malwarebytes
2010-08-05 18:04 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-05 16:55 . 2010-08-11 15:52	63488	----a-w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-08-05 16:55 . 2010-08-05 16:55	52224	----a-w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-08-05 16:55 . 2010-08-11 15:52	117760	----a-w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-08-05 16:54 . 2010-08-05 16:54	--------	d-----w-	c:\users\Crowley\AppData\Roaming\SUPERAntiSpyware.com
2010-08-05 16:54 . 2010-08-05 16:54	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2010-08-05 16:54 . 2010-08-05 16:54	--------	d-----w-	c:\program files\SUPERAntiSpyware
2010-08-05 14:56 . 2010-08-05 14:56	--------	d-----w-	c:\program files\CCleaner
2010-08-03 11:47 . 2010-08-06 22:28	--------	d-----w-	c:\program files\Common Files\Blizzard Entertainment
2010-08-03 11:47 . 2010-08-03 12:00	--------	d-----w-	c:\programdata\Blizzard Entertainment
2010-08-02 12:29 . 2010-08-03 22:29	--------	d-sh--w-	c:\users\Crowley\AppData\Roaming\lowsec
2010-07-25 00:28 . 2010-07-25 00:28	53632	----a-w-	c:\users\Crowley\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-07-25 00:25 . 2010-07-25 00:29	--------	d-----w-	c:\program files\League of Legends

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-12 22:14 . 2009-07-14 08:47	653928	----a-w-	c:\windows\system32\perfh007.dat
2010-08-12 22:14 . 2009-07-14 08:47	129800	----a-w-	c:\windows\system32\perfc007.dat
2010-08-11 21:45 . 2010-06-18 22:29	--------	d-----w-	c:\users\Crowley\AppData\Roaming\uTorrent
2010-08-11 02:48 . 2010-08-11 02:48	--------	d-----w-	c:\program files\Java
2010-08-11 02:48 . 2010-08-05 19:22	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-08-11 02:47 . 2010-08-11 02:47	0	----a-w-	c:\windows\system32\RENAF92.tmp
2010-08-11 02:47 . 2010-08-11 02:47	0	----a-w-	c:\windows\system32\RENAF91.tmp
2010-08-11 02:47 . 2010-08-11 02:47	0	----a-w-	c:\windows\system32\RENAF90.tmp
2010-08-10 01:05 . 2010-02-07 22:55	1	----a-w-	c:\users\Crowley\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-07 20:34 . 2010-08-07 20:34	2300696	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
2010-08-07 20:33 . 2010-08-07 20:33	42776	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2010-08-07 20:33 . 2010-08-07 20:33	1127240	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-08-06 22:32 . 2010-08-06 22:32	47364	----a-w-	c:\programdata\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll
2010-08-05 19:21 . 2010-08-05 19:21	0	----a-w-	c:\windows\system32\REN5FBE.tmp
2010-08-05 19:21 . 2010-08-05 19:21	0	----a-w-	c:\windows\system32\REN5FBD.tmp
2010-08-05 19:21 . 2010-08-05 19:21	0	----a-w-	c:\windows\system32\REN5FAC.tmp
2010-08-05 16:33 . 2010-06-01 14:57	--------	d-----w-	c:\program files\Common Files\Akamai
2010-07-29 06:30 . 2010-08-11 21:27	197632	----a-w-	c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-11 21:27	82944	----a-w-	c:\windows\system32\iccvid.dll
2010-07-25 00:29 . 2010-05-20 14:51	--------	d-----w-	c:\programdata\PMB Files
2010-07-25 00:28 . 2010-03-20 19:30	--------	d-----w-	c:\program files\Common Files\Adobe AIR
2010-07-25 00:28 . 2010-03-20 19:47	53632	----a-w-	c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-07-24 02:13 . 2010-02-26 01:57	--------	d-----w-	c:\program files\PokerStars
2010-06-30 06:25 . 2010-08-11 21:27	978432	----a-w-	c:\windows\system32\wininet.dll
2010-06-26 02:51 . 2010-06-26 02:51	--------	d-----w-	c:\program files\Microsoft.NET
2010-06-22 02:47 . 2010-08-11 21:27	310784	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-22 02:47 . 2010-08-11 21:27	307200	----a-w-	c:\windows\system32\drivers\srv2.sys
2010-06-22 02:47 . 2010-08-11 21:27	113664	----a-w-	c:\windows\system32\drivers\srvnet.sys
2010-06-19 06:33 . 2010-08-11 21:27	3955080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-11 21:27	3899784	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-06-19 06:23 . 2010-08-11 21:27	37376	----a-w-	c:\windows\system32\rtutils.dll
2010-06-19 04:07 . 2010-08-11 21:27	2326016	----a-w-	c:\windows\system32\win32k.sys
2010-06-18 23:09 . 2010-02-07 13:22	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-16 05:48 . 2010-08-11 21:27	224256	----a-w-	c:\windows\system32\schannel.dll
2010-06-14 06:12 . 2010-08-11 21:27	1286016	----a-w-	c:\windows\system32\drivers\tcpip.sys
2010-06-08 06:02 . 2010-08-11 21:27	1233920	----a-w-	c:\windows\system32\msxml3.dll
2010-05-27 07:24 . 2010-06-11 10:07	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-11 10:07	293888	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-02-06 21:32	221568	------w-	c:\windows\system32\MpSigStub.exe
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42	396800	--sha-w-	c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-03-05 15:32	1135912	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1cad404bd34de8e;Google Update Service (gupdate1cad404bd34de8e);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 133104]
R3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;c:\games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-07-26 25832]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-02-07 691696]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-03-30 1107336]

.
Inhalt des "geplante Tasks" Ordners

2010-08-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 14:40]

2010-08-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 14:40]
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-13  00:19:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-12 22:19
ComboFix2.txt  2010-08-09 22:49

Vor Suchlauf: 13 Verzeichnis(se), 192.277.606.400 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 192.219.242.496 Bytes frei

- - End Of File - - 6B0A881DD676815D6EDAB3ABFE5CA293

Meltas · 14.08.2010, 19:26

wie schon gesagt - Problem besteht noch immer - ich warte auf die nächste Anweisung ^^ Vielen dank schonmal!

11.08.2010, 06:24	#6
Swisstreasure /// Malwareteam	Firefox.exe und Iexplorer werden als TR/Crypt.XPACK.Gen2 erkannt Sorry für die Wartezeit. Dein Thread ging wohl unter Werde heute Abend die nächsten Schritte posten

12.08.2010, 12:16	#11
Swisstreasure /// Malwareteam	Firefox.exe und Iexplorer werden als TR/Crypt.XPACK.Gen2 erkannt Dann mach einmal Schritt 3 bitte.

Firefox.exe und Iexplorer werden als TR/Crypt.XPACK.Gen2 erkannt

Plagegeister aller Art und deren Bekämpfung: Firefox.exe und Iexplorer werden als TR/Crypt.XPACK.Gen2 erkannt