Nach URL-Eingabe Umleitung auf falsche Seite

Schorsch En Hesse · 20.08.2010, 09:25

Hallo zusammen,

heute vormittag wollte ich im Browser (Opera) die Suchmaschine Scroogle ausprobieren und wurde auf eine Porno-Seite umgeleitet. Dieses Problem trat zum ersten Mal auf. Ansonsten ist mir bis jetzt nichts besonderes aufgefallen.

Ich habe daraufhin einen HJT-Log erstellt. Hoffentlich mache ich das mit den Code-Tags richtig. Ich surfe nur als Nutzer mit eingeschränkten Rechten, HJT-Installation und Log hatte ich als Administrator gemacht, richtig so?
Könnt Ihr Euch das Log bitte mal ansehen? Danke schon mal!

Gruß, Schorsch

[code]
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:00:30, on 20.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe
C:\Programme\Funkwerk Secure IPSec Client\ncprwsnt.exe
C:\Programme\Funkwerk Secure IPSec Client\ncpsec.exe
C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe
C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BitDefender\BitDefender 2009\seccenter.exe
D:\Dateien von XXX\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NcpBudgetGui] "C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe" -start
O4 - HKLM\..\Run: [NcpPopup] "C:\Programme\Funkwerk Secure IPSec Client\ncppopup.exe" noerrmsg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.update.microsoft.com 
O15 - Trusted Zone: h**p://download.windowsupdate.com
O15 - Trusted Zone: h**p://*.windowsupdate.com
O15 - Trusted Zone: h**p://download.windowsupdate.com 
O17 - HKLM\System\CCS\Services\Tcpip\..\{231973D8-E8BD-4E3A-A7FB-A37B2499966A}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2AE8DAF-7E47-4CBE-9CDF-3ADD22455E8F}: NameServer = 192.168.2.1
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: i5postgres_port_5433 - PostgreSQL Global Development Group - H:/REACH/IUCLID5/Programm/postgres/bin/pg_ctl.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: ncpclcfg - NCP engineering GmbH - C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe
O23 - Service: ncprwsnt - NCP Engineering GmbH - C:\Programme\Funkwerk Secure IPSec Client\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - C:\Programme\Funkwerk Secure IPSec Client\ncpsec.exe
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 6752 bytes

--- --- ---

cosinus · 20.08.2010, 10:46

Hallo und

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Da Du eingeschränkte Rechte in Deinem XP hast (das ist wirklich sehr löblich!), solltest Du Dich abmelden und als Adminstrator einloggen und da alle Tools ausführen!

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Schorsch En Hesse · 20.08.2010, 15:26

Hallo,

ich habe jetzt die Logfiles. Zunächst Malwarebytes:

[code]
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:00:30, on 20.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe
C:\Programme\Funkwerk Secure IPSec Client\ncprwsnt.exe
C:\Programme\Funkwerk Secure IPSec Client\ncpsec.exe
C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe
C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BitDefender\BitDefender 2009\seccenter.exe
D:\Dateien von XXX\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NcpBudgetGui] "C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe" -start
O4 - HKLM\..\Run: [NcpPopup] "C:\Programme\Funkwerk Secure IPSec Client\ncppopup.exe" noerrmsg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.update.microsoft.com 
O15 - Trusted Zone: h**p://download.windowsupdate.com
O15 - Trusted Zone: h**p://*.windowsupdate.com
O15 - Trusted Zone: h**p://download.windowsupdate.com 
O17 - HKLM\System\CCS\Services\Tcpip\..\{231973D8-E8BD-4E3A-A7FB-A37B2499966A}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2AE8DAF-7E47-4CBE-9CDF-3ADD22455E8F}: NameServer = 192.168.2.1
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: i5postgres_port_5433 - PostgreSQL Global Development Group - H:/REACH/IUCLID5/Programm/postgres/bin/pg_ctl.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: ncpclcfg - NCP engineering GmbH - C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe
O23 - Service: ncprwsnt - NCP Engineering GmbH - C:\Programme\Funkwerk Secure IPSec Client\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - C:\Programme\Funkwerk Secure IPSec Client\ncpsec.exe
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 6752 bytes

--- --- ---

und dann OTL.txt

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 20.08.2010 15:15:36 - Run 1
OTL by OldTimer - Version 3.2.10.0     Folder = D:\Dateien von XXX
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 662,00 Mb Available Physical Memory | 65,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 34,18 Gb Total Space | 11,62 Gb Free Space | 34,00% Space Free | Partition Type: NTFS
Drive D: | 5,18 Gb Total Space | 1,06 Gb Free Space | 20,44% Space Free | Partition Type: NTFS
Drive E: | 5,08 Gb Total Space | 0,50 Gb Free Space | 9,81% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
Drive G: | 182,24 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive H: | 18,61 Gb Total Space | 17,04 Gb Free Space | 91,56% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded
 
Computer Name: DENAUE
Current User Name: XXX
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - D:\Dateien von XXX\OTL.exe (OldTimer Tools)
PRC - C:\Programme\BitDefender\BitDefender 2009\seccenter.exe ()
PRC - C:\Programme\BitDefender\BitDefender 2009\bdagent.exe (BitDefender S.R.L.)
PRC - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe (BitDefender S. R. L.)
PRC - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe (BitDefender SRL)
PRC - C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe ()
PRC - C:\Programme\Funkwerk Secure IPSec Client\NCPRWSNT.EXE (NCP Engineering GmbH)
PRC - C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe (NCP engineering GmbH)
PRC - C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE (MicroWorld Technologies Inc.)
PRC - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE (MicroWorld Technologies Inc.)
PRC - C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
PRC - C:\Programme\Funkwerk Secure IPSec Client\NCPSEC.EXE ()
 
 
========== Modules (SafeList) ==========
 
MOD - D:\Dateien von XXX\OTL.exe (OldTimer Tools)
MOD - C:\Programme\BitDefender\BitDefender 2009\BitDefender InnerFire\midas32-v1_17\plugin_fragments.m32 (BitDefender S.R.L. Bucharest, ROMANIA)
MOD - C:\Programme\BitDefender\BitDefender 2009\BitDefender InnerFire\midas32-v1_17\plugin_extra.m32 (BitDefender S.R.L. Bucharest, ROMANIA)
MOD - C:\Programme\BitDefender\BitDefender 2009\BitDefender InnerFire\midas32-v1_17\plugin_net.m32 (BitDefender S.R.L. Bucharest, ROMANIA)
MOD - C:\Programme\BitDefender\BitDefender 2009\BitDefender InnerFire\midas32-v1_17\plugin_registry.m32 (BitDefender S.R.L. Bucharest, ROMANIA)
MOD - C:\Programme\BitDefender\BitDefender 2009\BitDefender InnerFire\midas32-v1_17\plugin_base.m32 (BitDefender S.R.L. Bucharest, ROMANIA)
MOD - C:\Programme\BitDefender\BitDefender 2009\BitDefender InnerFire\midas32-v1_17\midas32.dll (BitDefender S.R.L. Bucharest, ROMANIA)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (aspnet_state) -- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File not found
SRV - (VSSERV) -- C:\Programme\BitDefender\BitDefender 2009\vsserv.exe (BitDefender S. R. L.)
SRV - (LIVESRV) -- C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe (BitDefender SRL)
SRV - (scan) -- C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\scan.dll (S.C. BitDefender S.R.L)
SRV - (Arrakis3) -- C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe ()
SRV - (ncprwsnt) -- C:\Programme\Funkwerk Secure IPSec Client\NCPRWSNT.EXE (NCP Engineering GmbH)
SRV - (ncpclcfg) -- C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe (NCP engineering GmbH)
SRV - (rwsrsu) -- C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe ()
SRV - (i5postgres_port_5433) -- H:\REACH\IUCLID5\Programm\postgres\bin\pg_ctl.exe (PostgreSQL Global Development Group)
SRV - (MWAgent) -- C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE (MicroWorld Technologies Inc.)
SRV - (NcpSec) -- C:\Programme\Funkwerk Secure IPSec Client\NCPSEC.EXE ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WinDriver6) -- C:\WINDOWS\system32\drivers\windrvr6.sys (Jungo)
DRV - (Bdfndisf) -- C:\WINDOWS\system32\drivers\bdfndisf.sys (BitDefender LLC)
DRV - (bdftdif) -- C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Firewall\bdftdif.sys (BitDefender LLC)
DRV - (Trufos) -- C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys (BitDefender S.R.L.)
DRV - (BDSelfPr) -- C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender S.R.L.)
DRV - (bdfsfltr) -- C:\WINDOWS\system32\drivers\bdfsfltr.sys (BitDefender S.R.L. Bucharest, ROMANIA)
DRV - (BDVEDISK) -- C:\Programme\BitDefender\BitDefender 2009\BDVEDISK.sys (BitDefender S.R.L.)
DRV - (bdfm) -- C:\WINDOWS\system32\drivers\bdfm.sys (BitDefender S.R.L. Bucharest, ROMANIA)
DRV - (Profos) -- C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys ()
DRV - (ncpvaxp) -- C:\WINDOWS\system32\drivers\ncpvaxp.sys (NCP Engineering GmbH)
DRV - (NcpFiltMP) -- C:\WINDOWS\system32\drivers\ncpvaxp.sys (NCP Engineering GmbH)
DRV - (NcpFilt) -- C:\WINDOWS\system32\drivers\ncpvaxp.sys (NCP Engineering GmbH)
DRV - (ACEDRV09) -- C:\WINDOWS\system32\drivers\ACEDRV09.sys (Protect Software GmbH)
DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis)
DRV - (senfilt) -- C:\WINDOWS\system32\drivers\senfilt.sys (Creative Technology Ltd.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (drvnddm) -- C:\WINDOWS\system32\drivers\drvnddm.sys (Sonic Solutions)
DRV - (tfsnudfa) -- C:\WINDOWS\system32\dla\tfsnudfa.sys (Sonic Solutions)
DRV - (tfsnudf) -- C:\WINDOWS\system32\dla\tfsnudf.sys (Sonic Solutions)
DRV - (tfsnifs) -- C:\WINDOWS\system32\dla\tfsnifs.sys (Sonic Solutions)
DRV - (tfsncofs) -- C:\WINDOWS\system32\dla\tfsncofs.sys (Sonic Solutions)
DRV - (tfsnboio) -- C:\WINDOWS\system32\dla\tfsnboio.sys (Sonic Solutions)
DRV - (tfsnopio) -- C:\WINDOWS\system32\dla\tfsnopio.sys (Sonic Solutions)
DRV - (tfsnpool) -- C:\WINDOWS\system32\dla\tfsnpool.sys (Sonic Solutions)
DRV - (tfsndrct) -- C:\WINDOWS\system32\dla\tfsndrct.sys (Sonic Solutions)
DRV - (tfsndres) -- C:\WINDOWS\system32\dla\tfsndres.sys (Sonic Solutions)
DRV - (drvmcdb) -- C:\WINDOWS\system32\drivers\drvmcdb.sys (Sonic Solutions)
DRV - (sscdbhk5) -- C:\WINDOWS\system32\drivers\sscdbhk5.sys (Sonic Solutions)
DRV - (ssrtln) -- C:\WINDOWS\system32\drivers\ssrtln.sys (Sonic Solutions)
DRV - (P17) -- C:\WINDOWS\system32\drivers\P17.sys (Creative Technology Ltd.)
DRV - (Bonifay) -- C:\WINDOWS\system32\drivers\Bonifay.sys (Freecom)
DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (ctsfm2k) -- C:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd)
DRV - (ossrv) -- C:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.)
DRV - (NETFRITZ) -- C:\WINDOWS\system32\drivers\NETFRITZ.SYS (AVM Berlin)
DRV - (AVMPORT) -- C:\WINDOWS\System32\drivers\avmport.sys (AVM Berlin)
DRV - (OMCI) -- C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS (Dell Computer Corporation)
DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation)
DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH)
DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = file:///c:/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Google"
 
FF - HKLM\software\mozilla\Firefox\Extensions\\FFToolbar@bitdefender.com: C:\Programme\BitDefender\BitDefender 2009\FFToolbar\ [2009.11.26 21:16:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.4\extensions\\Components: C:\Programme\Browser\Firefox\components [2009.11.05 09:47:31 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.4\extensions\\Plugins: C:\Programme\Browser\Firefox\plugins [2009.11.05 09:47:27 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\bdThunderbird@bitdefender.com: C:\Programme\BitDefender\BitDefender 2009\tbextension\ [2009.07.14 23:05:54 | 000,000,000 | ---D | M]
 
[2009.01.12 22:15:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Extensions
[2009.09.30 21:30:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\t8lwc3lk.default\extensions
[2009.09.30 21:30:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\t8lwc3lk.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
 
O1 HOSTS File: ([2004.08.16 20:16:51 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll (Sonic Solutions)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (BitDefender Toolbar) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll (Bitdefender)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O4 - HKLM..\Run: [BDAgent] C:\Programme\BitDefender\BitDefender 2009\bdagent.exe (BitDefender S.R.L.)
O4 - HKLM..\Run: [BitDefender Antiphishing Helper] C:\Programme\BitDefender\BitDefender 2009\IEShow.exe (BitDefender)
O4 - HKLM..\Run: [NcpBudgetGui] C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe ()
O4 - HKLM..\Run: [NcpPopup] C:\Programme\Funkwerk Secure IPSec Client\ncppopup.exe ()
O4 - HKLM..\Run: [P17Helper] C:\WINDOWS\System32\P17.dll ()
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [UpdReg] C:\WINDOWS\Updreg.EXE (Creative Technology Ltd.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebyte Anti-MalWare\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousMachineGroupPolicy = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousUserGroupPolicy = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll (Sun Microsystems, Inc.)
O15 - HKCU\..Trusted Domains: microsoft.com ([*.update] http in Trusted sites)
O15 - HKCU\..Trusted Domains: microsoft.com ([*.update] https in Trusted sites)
O15 - HKCU\..Trusted Domains: microsoft.com ([*.windowsupdate] http in Trusted sites)
O15 - HKCU\..Trusted Domains: microsoft.com ([update] http in Trusted sites)
O15 - HKCU\..Trusted Domains: microsoft.com ([update] https in Trusted sites)
O15 - HKCU\..Trusted Domains: microsoft.com ([www] http in Trusted sites)
O15 - HKCU\..Trusted Domains: microsoft.com  ([*.update] http in Trusted sites)
O15 - HKCU\..Trusted Domains: microsoft.com  ([*.update] https in Trusted sites)
O15 - HKCU\..Trusted Domains: windowsupdate.com ([]http in Trusted sites)
O15 - HKCU\..Trusted Domains: windowsupdate.com ([download] http in Trusted sites)
O15 - HKCU\..Trusted Domains: windowsupdate.com ([www] https in Trusted sites)
O15 - HKCU\..Trusted Domains: windowsupdate.com  ([download] http in Trusted sites)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.04.22 11:15:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.06.17 06:16:00 | 000,368,128 | R--- | M] () - G:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2008.06.17 06:16:00 | 000,000,049 | R--- | M] () - G:\autorun.inf -- [ CDFS ]
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.20 13:05:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
[2010.08.20 13:04:30 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.08.20 13:04:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.08.20 13:04:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.08.20 13:04:27 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebyte Anti-MalWare
[2010.08.20 12:29:11 | 000,575,488 | ---- | C] (OldTimer Tools) -- D:\Dateien von XXX\OTL.exe
[2010.08.20 12:25:50 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- D:\Dateien von XXX\mbam-setup.exe
[2010.08.20 09:53:42 | 000,000,000 | ---D | C] -- D:\Dateien von XXX\HJT
[2010.08.07 16:32:30 | 000,186,592 | ---- | C] (Jungo) -- C:\WINDOWS\System32\drivers\windrvr6.sys
[2005.04.22 14:57:06 | 000,065,536 | R--- | C] ( ) -- C:\WINDOWS\System32\A3d.dll
[2005.04.22 11:53:11 | 000,151,552 | ---- | C] ( ) -- C:\WINDOWS\System32\ATIDEMGR.dll
[261 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[13 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.20 15:14:37 | 000,000,406 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.lnk
[2010.08.20 12:29:11 | 000,575,488 | ---- | M] (OldTimer Tools) -- D:\Dateien von XXX\OTL.exe
[2010.08.20 12:25:53 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- D:\Dateien von XXX\mbam-setup.exe
[2010.08.20 10:06:08 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\XXX\NTUSER.DAT
[2010.08.20 10:06:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\XXX\ntuser.ini
[2010.08.20 07:35:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.20 00:26:25 | 000,081,984 | ---- | M] () -- C:\WINDOWS\System32\bdod.bin
[2010.08.20 00:26:12 | 000,260,096 | ---- | M] () -- D:\Dateien von XXX\A Fr neu.doc
[2010.08.18 23:36:46 | 000,258,560 | ---- | M] () -- D:\Dateien von XXX\Sicherungskopie von A Fr neu.wbk
[2010.08.15 10:40:13 | 000,000,656 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk
[2010.08.15 00:32:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.11 17:54:10 | 000,286,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.11 17:52:53 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.08.07 16:32:25 | 000,186,592 | ---- | M] (Jungo) -- C:\WINDOWS\System32\drivers\windrvr6.sys
[2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll
[2010.07.21 23:16:54 | 004,729,070 | ---- | M] () -- D:\Dateien von XXX\cam2pc-free.exe
[261 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[13 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.20 15:13:33 | 000,000,406 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.lnk
[2010.08.03 11:28:28 | 000,000,769 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\ElsterFormular.lnk
[2010.08.03 11:19:17 | 000,000,656 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk
[2010.07.21 23:16:53 | 004,729,070 | ---- | C] () -- D:\Dateien von XXX\cam2pc-free.exe
[2009.02.25 14:22:57 | 000,000,121 | ---- | C] () -- C:\WINDOWS\bdagent.INI
[2008.12.10 09:51:38 | 000,087,552 | ---- | C] () -- C:\WINDOWS\System32\cpwmon2k.dll
[2008.10.09 16:31:54 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\txmlutil.dll
[2008.07.14 07:34:49 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2007.05.10 22:45:02 | 000,000,022 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2007.01.31 14:50:32 | 000,913,408 | ---- | C] () -- C:\WINDOWS\System32\xreglib.dll
[2007.01.30 10:40:28 | 000,125,440 | ---- | C] () -- C:\WINDOWS\System32\UNZDLL.DLL
[2007.01.30 10:40:27 | 000,130,560 | ---- | C] () -- C:\WINDOWS\System32\ZIPDLL.DLL
[2006.12.07 11:29:11 | 000,003,654 | ---- | C] () -- C:\WINDOWS\System32\drivers\Sonyhcp.dll
[2006.10.27 21:33:46 | 000,000,355 | ---- | C] () -- C:\WINDOWS\QTW.INI
[2006.03.17 13:55:06 | 000,000,456 | ---- | C] () -- C:\Programme\INSTALL.LOG
[2006.02.16 12:13:34 | 000,003,195 | ---- | C] () -- C:\WINDOWS\tm.ini
[2005.12.22 21:33:29 | 000,011,264 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.04.24 23:08:16 | 000,000,236 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2005.04.22 15:08:18 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\setupnt.dll
[2005.04.22 14:58:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\SBWIN.INI
[2005.04.22 14:58:23 | 000,000,231 | ---- | C] () -- C:\WINDOWS\AC3API.INI
[2005.04.22 14:57:06 | 000,003,278 | ---- | C] () -- C:\WINDOWS\System32\LudaP17.ini
[2005.04.22 14:57:06 | 000,000,029 | ---- | C] () -- C:\WINDOWS\System32\ctzapxx.ini
[2005.04.22 14:57:05 | 000,060,928 | R--- | C] () -- C:\WINDOWS\System32\P17.dll
[2005.04.22 14:57:05 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\P17CPI.dll
[2005.04.22 14:41:39 | 000,000,184 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2005.04.22 14:35:19 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.04.22 11:53:11 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[2004.09.22 20:47:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2004.08.16 20:26:01 | 000,022,040 | ---- | C] () -- C:\WINDOWS\System32\_004551_.tmp.dll
[2004.08.16 20:18:19 | 000,249,270 | ---- | C] () -- C:\WINDOWS\System32\_004583_.tmp.dll
< End of report >

--- --- ---

und noch Extras.txt

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 20.08.2010 15:15:36 - Run 1
OTL by OldTimer - Version 3.2.10.0     Folder = D:\Dateien von XXX
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 662,00 Mb Available Physical Memory | 65,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 34,18 Gb Total Space | 11,62 Gb Free Space | 34,00% Space Free | Partition Type: NTFS
Drive D: | 5,18 Gb Total Space | 1,06 Gb Free Space | 20,44% Space Free | Partition Type: NTFS
Drive E: | 5,08 Gb Total Space | 0,50 Gb Free Space | 9,81% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
Drive G: | 182,24 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive H: | 18,61 Gb Total Space | 17,04 Gb Free Space | 91,56% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded
 
Computer Name: DENAUE
Current User Name: XXX
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Browser\Opera\Opera.exe (Opera Software)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Browser\Opera\opera.exe" (Opera Software)
https [open] -- "C:\Programme\Browser\Opera\opera.exe" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE" = C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE" = C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool -- File not found
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\usmt\migwiz.exe" = C:\WINDOWS\system32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen -- (Microsoft Corporation)
"C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE" = C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE" = C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool -- File not found
"C:\Programme\Funkwerk Secure IPSec Client\NCPMON.exe" = C:\Programme\Funkwerk Secure IPSec Client\NCPMON.exe:*:Disabled:ncpmon.exe -- (NCP engineering GmbH)
"C:\Programme\Colormailer\ColorMailer Photobücher\Editor.exe" = C:\Programme\Colormailer\ColorMailer Photobücher\Editor.exe:*:Enabled:Editor -- File not found
"C:\Programme\Browser\Opera\opera.exe" = C:\Programme\Browser\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{09DA4F91-2A09-4232-AB8C-6BC740096DE3}" = Sonic Update Manager
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA
"{2CDCCE7E-55D5-40CC-AEA0-ABA54713501F}" = LUMIX Simple Viewer
"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{46E0C50A-1F67-46B9-B4A6-B153245ECFE7}" = BitDefender Total Security 2009
"{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller
"{56F3E1FF-54FE-4384-A153-6CCABA097814}" = Creative MediaSource
"{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}" = Sony USB Driver
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD 5.3
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{70858C67-8761-4444-895A-0A8B2E9E144E}" = Opera 10.61
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{917C79E9-9E4E-11D6-B27C-0003FFFFFFFC}" = Fritz und Fertig
"{91CA0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Small Business Edition 2003
"{9541FED0-327F-4DF0-8B96-EF57EF622F19}" = Sonic RecordNow!
"{AA52E3D6-E486-4628-9C40-54E1F7583B53}" = Riven
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{BFF2D920-80F2-46E9-8246-79A20BB9D8B2}" = Crazy Machines - Neues aus dem Labor
"{C649ED6C-2D44-40BA-AE75-0AADD5E411E5}" = Wildlife Park 2 Horses
"{CC000127-5E5D-4A1C-90CB-EEAAAC1E3AC0}" = Jasc Paint Shop Photo Album
"{CEB481CC-F57C-4397-81A0-DADD22257047}" = Sound Blaster Live! 24-bit
"{D5068583-D569-468B-9755-5FBF5848F46F}" = Sony Picture Utility
"{D78653C3-A8FF-415F-92E6-D774E634FF2D}" = Dell ResourceCD
"{DF18FC19-CC69-495C-AB4C-169125272156}" = WebEx-Support-Manager für Mozilla Firefox/Netscape Navigator
"{E8D9D05C-0EF5-436D-BD1A-A8310DE7E154}" = Colormailer Photo Service
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F354F255-CD79-438C-B0CC-106665D0A2AB}" = IUCLID5
"{F959B396-6E53-4B2D-88AF-5B65FAF9F4D5}" = BitDefender Total Security 2009
"3D-Labyrinth" = 3D-Labyrinth 3.0 
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Ask Toolbar_is1" = Ask Toolbar
"ATI Display Driver" = ATI Display Driver
"CCleaner" = CCleaner (remove only)
"Celestia_is1" = Celestia 1.3.2
"Crazy Matrix_is1" = Crazy Matrix V2.2
"CutePDF Writer Installation" = CutePDF Writer 2.7
"ElsterFormular 11.3.0.4235" = ElsterFormular
"Foxit PDF Editor" = Foxit PDF Editor
"Foxit Reader" = Foxit Reader
"Freecom Personal Media Suite_is1" = Freecom Personal Media Suite 1.21
"FRITZ! 2.0" = AVM FRITZ!
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InstallShield_{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.5.4)" = Mozilla Firefox (3.5.4)
"NCP RWS/GA" = FEC Secure IPSec Client
"PartitionExpert" = Acronis*PartitionExpert
"QuickTime" = QuickTime
"Stellarium_is1" = Stellarium 0.9.1
"U.B. Funkeys" = U.B. Funkeys
"Winamp" = Winamp
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = The GIMP 2.2.10
"WinGTK-2_is1" = GTK+ 2.8.9 runtime environment
"WinRAR archiver" = WinRAR Archivierer
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 22.06.2009 02:25:53 | Computer Name = DENAUE | Source = .NET Runtime | ID = 0
Description = 
 
Error - 22.06.2009 02:28:11 | Computer Name = DENAUE | Source = .NET Runtime | ID = 0
Description = 
 
Error - 22.06.2009 02:28:11 | Computer Name = DENAUE | Source = .NET Runtime | ID = 0
Description = 
 
Error - 09.07.2009 04:28:33 | Computer Name = DENAUE | Source = Microsoft Office 11 | ID = 1000
Description = Faulting application winword.exe, version 11.0.5604.0, stamp 3f314a2f,
 faulting module winword.exe, version 11.0.5604.0, stamp 3f314a2f, debug? 0, fault
 address 0x00068dd6.
 
Error - 09.07.2009 10:03:32 | Computer Name = DENAUE | Source = .NET Runtime | ID = 0
Description = 
 
Error - 14.07.2009 16:29:07 | Computer Name = DENAUE | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf c:\system volume information\catalog.wci ist 
beschädigt. Fahren Sie den  Indexdienst (cisvc) herunter, und starten Sie ihn erneut.
 
Error - 14.07.2009 16:29:07 | Computer Name = DENAUE | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci
 werden aufgeräumt. Wiederherstellen des Indexes erfolgt  automatisch durch erneutes
 Filtern aller Dokumente.
 
Error - 14.07.2009 17:04:47 | Computer Name = DENAUE | Source = MsiInstaller | ID = 11704
Description = Produkt: BitDefender Total Security 2009 -- Fehler 1704. Eine Installation
 von BitDefender Total Security 2009 ist im Augenblick unterbrochen. Sie müssen 
die von dieser Installation vorgenommenen Änderungen rückgängig machen, bevor Sie
 den Vorgang fortsetzen können. Möchten Sie diese Änderungen rückgängig machen?
 
Error - 14.07.2009 17:15:52 | Computer Name = DENAUE | Source = Arrakis3 | ID = 131073
Description = An error has occurred (StartServiceCtrlDispatcher failed with 997).
 
Error - 18.07.2009 01:11:40 | Computer Name = DENAUE | Source = .NET Runtime | ID = 0
Description = 
 
[ System Events ]
Error - 15.08.2010 16:57:15 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 16.08.2010 05:07:27 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 16.08.2010 16:20:17 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 17.08.2010 02:03:48 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 17.08.2010 16:29:36 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 18.08.2010 02:55:58 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 18.08.2010 16:06:21 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 19.08.2010 01:57:02 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 19.08.2010 17:21:02 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 20.08.2010 01:36:35 | Computer Name = DENAUE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
 
< End of report >

--- --- ---

Danke fürs Drüberschauen!

Gruß, Schorsch

Schorsch En Hesse · 21.08.2010, 22:33

Hi Arne,

hast Du schon Zeit gehabt, Dir das anzusehen? Was soll ich jetzt machen?

Gruß, Schorsch

cosinus · 22.08.2010, 18:41

Was ist mit Malwarebytes? Du hast da nur ein Hijackthis-Logfile gepostet!

Schorsch En Hesse · 22.08.2010, 21:37

Oops, stimmt! Sorry. Das reiche ich morgen nach.

Schorsch En Hesse · 23.08.2010, 07:34

Hallo,

hier also noch der Malwarebytes-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4451

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.08.2010 14:46:41
mbam-log-2010-08-20 (14-46-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 314844
Laufzeit: 1 Stunde(n), 39 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nix gefunden??? Was nun?

Danke und Gruß, Schorsch

cosinus · 23.08.2010, 12:59

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Schorsch En Hesse · 23.08.2010, 16:44

Ok, habe alles runtergeladen, eine ältere Fassung von CCleaner deinstalliert, sicherheitshalber neu gestartet, CCleaner laufen lassen und dann CoFi.exe.

Der Logfile:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-22.07 - XXX 23.08.2010  16:51:15.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.668 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\CoFi.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\programme\Internet Explorer\SET641.tmp
c:\windows\regedit.com
c:\windows\settings.reg
c:\windows\system\QTIM32.DLL
c:\windows\system32\_004540_.tmp.dll
c:\windows\system32\_004541_.tmp.dll
c:\windows\system32\_004542_.tmp.dll
c:\windows\system32\_004543_.tmp.dll
c:\windows\system32\_004550_.tmp.dll
c:\windows\system32\_004551_.tmp.dll
c:\windows\system32\_004552_.tmp.dll
c:\windows\system32\_004553_.tmp.dll
c:\windows\system32\_004555_.tmp.dll
c:\windows\system32\_004556_.tmp.dll
c:\windows\system32\_004559_.tmp.dll
c:\windows\system32\_004560_.tmp.dll
c:\windows\system32\_004562_.tmp.dll
c:\windows\system32\_004563_.tmp.dll
c:\windows\system32\_004564_.tmp.dll
c:\windows\system32\_004566_.tmp.dll
c:\windows\system32\_004569_.tmp.dll
c:\windows\system32\_004570_.tmp.dll
c:\windows\system32\_004574_.tmp.dll
c:\windows\system32\_004575_.tmp.dll
c:\windows\system32\_004577_.tmp.dll
c:\windows\system32\_004580_.tmp.dll
c:\windows\system32\_004582_.tmp.dll
c:\windows\system32\_004583_.tmp.dll
c:\windows\system32\_004584_.tmp.dll
c:\windows\system32\_004585_.tmp.dll
c:\windows\system32\_004586_.tmp.dll
c:\windows\system32\_004589_.tmp.dll
c:\windows\system32\_004590_.tmp.dll
c:\windows\system32\_004591_.tmp.dll
c:\windows\system32\_004592_.tmp.dll
c:\windows\system32\_004593_.tmp.dll
c:\windows\system32\_004598_.tmp.dll
c:\windows\system32\_004600_.tmp.dll
c:\windows\system32\Data
c:\windows\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-23 bis 2010-08-23  ))))))))))))))))))))))))))))))
.

2010-08-23 14:24 . 2010-08-23 14:24	--------	d-----w-	c:\programme\CCleaner
2010-08-20 11:05 . 2010-08-20 11:05	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2010-08-20 11:04 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-20 11:04 . 2010-08-20 11:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-20 11:04 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-20 11:04 . 2010-08-22 20:58	--------	d-----w-	c:\programme\Malwarebyte Anti-MalWare
2010-08-07 14:32 . 2010-08-07 14:32	186592	----a-w-	c:\windows\system32\drivers\windrvr6.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-23 14:59 . 2006-05-12 10:40	0	----a-w-	c:\windows\system32\bdod.bin
2010-08-07 14:32 . 2005-07-31 21:08	--------	d-----w-	c:\programme\Spiele
2010-06-30 12:28 . 2008-05-24 16:59	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-29 14:15 . 2010-06-29 14:15	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Wildlife Park 2
2010-06-28 13:24 . 2010-06-28 13:24	--------	d-----w-	c:\programme\Gemeinsame Dateien\DirectX
2010-06-28 13:22 . 2010-06-28 13:22	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Wildlife Park 2 - Abenteuer auf der Ranch
2010-06-28 13:13 . 2005-04-22 09:29	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-06-24 12:22 . 2004-08-16 18:30	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2008-05-24 16:59	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2008-05-24 16:59	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-16 18:17	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2005-04-22 09:13	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-16 18:21	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 10:58	333192	----a-w-	c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-08-12 122939]
"P17Helper"="P17.dll" [2004-06-10 60928]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"NcpBudgetGui"="c:\programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe" [2008-08-22 2510848]
"NcpPopup"="c:\programme\Funkwerk Secure IPSec Client\ncppopup.exe" [2007-09-27 534016]
"BDAgent"="c:\programme\BitDefender\BitDefender 2009\bdagent.exe" [2009-11-16 782336]
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe" [2009-02-23 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Funkwerk Secure IPSec Client\\NCPMON.exe"=
"c:\\Programme\\Browser\\Opera\\opera.exe"=

R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [30.12.2007 18:13 110304]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [26.04.2005 22:37 59520]
R2 BDVEDISK;BDVEDISK;c:\programme\BitDefender\BitDefender 2009\BDVEDISK.sys [06.10.2008 18:16 82696]
R2 ncpclcfg;ncpclcfg;c:\programme\Funkwerk Secure IPSec Client\ncpclcfg.exe [27.10.2008 11:21 86016]
R2 ncprwsnt;ncprwsnt;c:\programme\Funkwerk Secure IPSec Client\NCPRWSNT.EXE [27.10.2008 11:21 1042952]
R2 NcpSec;NcpSec;c:\programme\Funkwerk Secure IPSec Client\NCPSEC.EXE [27.10.2008 11:21 45056]
R2 rwsrsu;RwsRsu;c:\programme\Funkwerk Secure IPSec Client\rwsrsu.exe [27.10.2008 11:21 266240]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [26.04.2005 21:55 37568]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [18.09.2008 12:09 111112]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [12.02.2009 16:52 104456]
R3 Bonifay;Bonifay;c:\windows\system32\drivers\Bonifay.sys [25.11.2003 18:04 11648]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [26.04.2005 21:55 444416]
R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [27.10.2008 11:21 80040]
S3 Arrakis3;BitDefender Arrakis Server;c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [20.01.2009 19:16 172032]
S3 i5postgres_port_5433;i5postgres_port_5433;H:/REACH/IUCLID5/Programm/postgres/bin/pg_ctl.exe runservice -N "i5postgres_port_5433" -D "H:/REACH/IUCLID5/Programm/postgres/data" --> H:/REACH/IUCLID5/Programm/postgres/bin/pg_ctl.exe runservice -N i5postgres_port_5433 [?]
S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [27.10.2008 11:21 80040]
S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [27.10.2008 11:21 80040]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\NETFRITZ.SYS [26.04.2005 22:37 267776]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = file:///c:/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: microsoft.com\*.update
Trusted Zone: microsoft.com\*.windowsupdate
Trusted Zone: microsoft.com\update
Trusted Zone: microsoft.com\www
Trusted Zone: microsoft.com \*.update
Trusted Zone: windowsupdate.com
Trusted Zone: windowsupdate.com\download
Trusted Zone: windowsupdate.com\www
Trusted Zone: windowsupdate.com \download
TCP: {1C092688-E6C7-4F37-AECA-4816DA7DAF69} = 217.0.43.113 217.0.43.97
TCP: {231973D8-E8BD-4E3A-A7FB-A37B2499966A} = 192.168.120.252,192.168.120.253
TCP: {D2AE8DAF-7E47-4CBE-9CDF-3ADD22455E8F} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\t8lwc3lk.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Browser\Firefox\plugins\npatgpc.dll
FF - plugin: c:\programme\Browser\Opera\program\plugins\npdrmv2.dll
FF - plugin: c:\programme\Browser\Opera\program\plugins\npdsplay.dll
FF - plugin: c:\programme\Browser\Opera\program\plugins\NPSWF32.dll
FF - plugin: c:\programme\Browser\Opera\program\plugins\npwmsdrm.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-08-23 17:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\i5postgres_port_5433]
"ImagePath"="H:/REACH/IUCLID5/Programm/postgres/bin/pg_ctl.exe runservice -N \"i5postgres_port_5433\" -D \"H:/REACH/IUCLID5/Programm/postgres/data\""

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\i5postgres_port_5433]
"ImagePath"="H:/REACH/IUCLID5/Programm/postgres/bin/pg_ctl.exe runservice -N \"i5postgres_port_5433\" -D \"H:/REACH/IUCLID5/Programm/postgres/data\""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2052)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\CTsvcCDA.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\Rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-23  17:17:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-23 15:17

Vor Suchlauf: 12 Verzeichnis(se), 13.569.167.360 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14.110.507.008 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noguiboot

- - End Of File - - 2A13CBC96A588CA83BCB0304B6A97658

--- --- ---

Danke für Deine Hilfe!

Gruß, Schorsch

cosinus · 23.08.2010, 17:49

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Schorsch En Hesse · 24.08.2010, 07:35

Hi,
GMER: ein Mal automatischer Neustart, beim 2. Mal Bluescreen, aufgehört.

OSAM:

Code:

ATTFilter

OSAM Logfile:

	Code: 

 ATTFilter

  
	Report of OSAM: Autorun Manager v5.0.11926.0
h**p://www.online-solutions.ru/en/
Saved at 06:59:28 on 24.08.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"QTW32.CPL" - "Apple Computer, Inc." - C:\WINDOWS\system32\QTW32.CPL
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ACEDRV09" (ACEDRV09) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\ACEDRV09.sys
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"AVM FRITZ!web PPP over ISDN" (NETFRITZ) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS
"AVMPORT" (AVMPORT) - "AVM Berlin" - C:\WINDOWS\System32\drivers\avmport.sys
"BDFM" (bdfm) - "BitDefender S.R.L. Bucharest, ROMANIA" - C:\WINDOWS\System32\drivers\bdfm.sys
"bdfsfltr" (bdfsfltr) - "BitDefender S.R.L. Bucharest, ROMANIA" - C:\WINDOWS\System32\drivers\bdfsfltr.sys
"bdftdif" (bdftdif) - "BitDefender LLC" - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Firewall\bdftdif.sys
"BDSelfPr" (BDSelfPr) - "BitDefender S.R.L." - C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys
"BDVEDISK" (BDVEDISK) - "BitDefender S.R.L." - C:\Programme\BitDefender\BitDefender 2009\BDVEDISK.sys
"BitDefender Firewall NDIS Filter Service" (Bdfndisf) - "BitDefender LLC" - C:\WINDOWS\System32\DRIVERS\bdfndisf.sys
"Bonifay" (Bonifay) - "Freecom" - C:\WINDOWS\System32\DRIVERS\Bonifay.sys
"catchme" (catchme) - ? - C:\CoFi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"drvmcdb" (drvmcdb) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvmcdb.sys
"drvnddm" (drvnddm) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvnddm.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"OMCI" (OMCI) - "Dell Computer Corporation" - C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Profos" (Profos) - ? - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys  (File found, but it contains no detailed information)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sscdbhk5" (sscdbhk5) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\sscdbhk5.sys
"ssrtln" (ssrtln) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\ssrtln.sys
"tfsnboio" (tfsnboio) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnboio.sys
"tfsncofs" (tfsncofs) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsncofs.sys
"tfsndrct" (tfsndrct) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsndrct.sys
"tfsndres" (tfsndres) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsndres.sys
"tfsnifs" (tfsnifs) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnifs.sys
"tfsnopio" (tfsnopio) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnopio.sys
"tfsnpool" (tfsnpool) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnpool.sys
"tfsnudf" (tfsnudf) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnudf.sys
"tfsnudfa" (tfsnudfa) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnudfa.sys
"Trufos" (Trufos) - "BitDefender S.R.L." - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WinDriver6" (WinDriver6) - "Jungo" - C:\WINDOWS\System32\drivers\windrvr6.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{9E96C1F5-0EFA-4348-9460-15D6802C70AA} "FvSCtxMenu Class" - "BitDefender S.R.L." - C:\Programme\BitDefender\BitDefender 2009\bdfvsctx.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\system32\dla\tfswshx.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{DEE12703-6333-4D4E-8F34-738C4DCC2E04} "RecordNow! SendToExt" - ? - C:\Programme\Sonic\Sonic Solutions Product CD\RecordNow!\shlext.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "Shell Extensions for RealOne Player" - ? -   (File not found | COM-object registry key not found)
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "&Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Ask Toolbar" - "Ask.com" - C:\Programme\AskBarDis\bar\bin\askBar.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Ask Toolbar" - "Ask.com" - C:\Programme\AskBarDis\bar\bin\askBar.dll
{381FFDE8-2394-4f90-B10D-FC6124A40F8C} "BitDefender Toolbar" - "Bitdefender" - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{201f27d4-3704-41d6-89c1-aa35e39143ed} "AskBar BHO" - "Ask.com" - C:\Programme\AskBarDis\bar\bin\askBar.dll
{5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\system32\dla\tfswshx.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ATIPTA" - "ATI Technologies, Inc." - C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"BDAgent" - "BitDefender S.R.L." - "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
"BitDefender Antiphishing Helper" - "BitDefender" - "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
"dla" - "Sonic Solutions" - C:\WINDOWS\system32\dla\tfswctrl.exe
"NcpBudgetGui" - ? - "C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe" -start  (File found, but it contains no detailed information)
"NcpPopup" - ? - "C:\Programme\Funkwerk Secure IPSec Client\ncppopup.exe" noerrmsg  (File found, but it contains no detailed information)
"UpdReg" - "Creative Technology Ltd." - C:\WINDOWS\UpdReg.EXE

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"CutePDF Writer Monitor" - ? - C:\WINDOWS\system32\cpwmon2k.dll  (File found, but it contains no detailed information)
"FRITZ!fax Color Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzColorPort.dll
"FRITZ!fax Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzPort.dll
"hpzlnt04" - "HP" - C:\WINDOWS\system32\hpzlnt04.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET State Service" (aspnet_state) - ? - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe  (File not found)
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
"BitDefender Arrakis Server" (Arrakis3) - ? - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe  (File found, but it contains no detailed information)
"BitDefender Desktop Update Service" (LIVESRV) - "BitDefender SRL" - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
"BitDefender Threat Scanner" (scan) - "S.C. BitDefender S.R.L" - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\scan.dll
"BitDefender Virus Shield" (VSSERV) - "BitDefender S. R. L." - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
"Creative Service for CDROM Access" (Creative Service for CDROM Access) - "Creative Technology Ltd" - C:\WINDOWS\system32\CTsvcCDA.EXE
"i5postgres_port_5433" (i5postgres_port_5433) - "PostgreSQL Global Development Group" - H:\REACH\IUCLID5\Programm\postgres\bin\pg_ctl.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"MWAgent" (MWAgent) - "MicroWorld Technologies Inc." - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
"ncpclcfg" (ncpclcfg) - "NCP engineering GmbH" - C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe
"ncprwsnt" (ncprwsnt) - "NCP Engineering GmbH" - C:\Programme\Funkwerk Secure IPSec Client\ncprwsnt.exe
"NcpSec" (NcpSec) - ? - C:\Programme\Funkwerk Secure IPSec Client\ncpsec.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"RwsRsu" (rwsrsu) - ? - C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe  (File found, but it contains no detailed information)
"WMDM PMSP Service" (WMDM PMSP Service) - "Microsoft Corporation" - C:\WINDOWS\system32\MsPMSPSv.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
 --- --- ---

If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru

Die Ausgabe von bootkit_remover (leicht gekürzt):

Code:

ATTFilter

...
System Volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`03ec1000
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size          device_name          MBR Status
74 GB        \\.\PhysicalDrive0    Unknown Boot Code

Unknown boot code has been found on some of your physical disks.

To inspect...

To disinfect the master boot sector, use the following command
remover.exe fix <device_name>

Done;
Press any key to quit...

Wurde der Bootsektor jetzt also schon automatisch gereinigt?

Gruß, Schorsch

cosinus · 24.08.2010, 14:10

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Schorsch En Hesse · 24.08.2010, 16:59

Hatte mir das schon gedacht und die Datei schon mal runtergeladen -.-

Hier das Log:

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000000dd

Kernel Drivers (total 147):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x80700000 \WINDOWS\system32\hal.dll
  0xF7D65000 \WINDOWS\system32\KDCOM.DLL
  0xF7C75000 \WINDOWS\system32\BOOTVID.dll
  0xF7815000 ACPI.sys
  0xF7D67000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF7804000 pci.sys
  0xF7865000 isapnp.sys
  0xF7E2D000 pciide.sys
  0xF7AE5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7D69000 intelide.sys
  0xF7875000 MountMgr.sys
  0xF77E5000 ftdisk.sys
  0xF7D6B000 dmload.sys
  0xF77BF000 dmio.sys
  0xF7AED000 PartMgr.sys
  0xF7885000 VolSnap.sys
  0xF77A7000 atapi.sys
  0xF7895000 disk.sys
  0xF78A5000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7787000 fltmgr.sys
  0xF7775000 sr.sys
  0xF7760000 drvmcdb.sys
  0xF78B5000 PxHelp20.sys
  0xF7749000 KSecDD.sys
  0xF76BC000 Ntfs.sys
  0xF768F000 NDIS.sys
  0xF767E000 snapman.sys
  0xF7664000 Mup.sys
  0xF78D5000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF7530000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF751C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7D01000 \SystemRoot\System32\DRIVERS\Bonifay.sys
  0xF7B1D000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF74F8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7B25000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF742A000 \SystemRoot\system32\drivers\P17.sys
  0xF7406000 \SystemRoot\system32\drivers\portcls.sys
  0xF78E5000 \SystemRoot\system32\drivers\drmk.sys
  0xF73E3000 \SystemRoot\system32\drivers\ks.sys
  0xF73B7000 \SystemRoot\system32\DRIVERS\ctoss2k.sys
  0xF7397000 \SystemRoot\system32\DRIVERS\ctsfm2k.sys
  0xF732A000 \SystemRoot\system32\DRIVERS\fpcibase.sys
  0xF78F5000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys
  0xF72EA000 \SystemRoot\system32\drivers\smwdm.sys
  0xF7237000 \SystemRoot\system32\drivers\senfilt.sys
  0xF7B4D000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF7223000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF7905000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7D1D000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF7915000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF7D6F000 \SystemRoot\system32\drivers\sscdbhk5.sys
  0xF7925000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF7935000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF7B65000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF7945000 \SystemRoot\system32\DRIVERS\avmwan.sys
  0xF71F5000 \SystemRoot\system32\drivers\windrvr6.sys
  0xF7D75000 \SystemRoot\system32\drivers\USBD.SYS
  0xF7F47000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7965000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7D2D000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF71DE000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF7975000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF7985000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7B8D000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF71CD000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF7995000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7B9D000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7BAD000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF7193000 \SystemRoot\system32\DRIVERS\ncpvaxp.sys
  0xF7163000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF79A5000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7BC5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7BCD000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF714B000 \SystemRoot\system32\DRIVERS\bdfndisf.sys
  0xF7D7D000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF70ED000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7D59000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF79D5000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF79E5000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7BED000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xF7D85000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7FA3000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7D89000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7C0D000 \SystemRoot\system32\drivers\ssrtln.sys
  0xF7C25000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF7C2D000 \SystemRoot\System32\drivers\vga.sys
  0xF7D8D000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7D91000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7C3D000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7C4D000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7D0D000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xEEFD2000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xEEF79000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xEEF31000 \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Firewall\bdftdif.sys
  0xEEF0B000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xEEEE3000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF7D35000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xEEEC1000 \SystemRoot\System32\drivers\afd.sys
  0xF7A15000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xEEE96000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xF71B5000 \SystemRoot\SYSTEM32\DRIVERS\OMCI.SYS
  0xEEE26000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF7A35000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF7A65000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xEF021000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xF7A75000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xF7C6D000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xEF01D000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xEF015000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xF7A85000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xEED46000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7D99000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF760B000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7B45000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7F40000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF04A000 \SystemRoot\System32\ati2cqag.dll
  0xBF084000 \SystemRoot\System32\ati3duag.dll
  0xBF2A7000 \SystemRoot\System32\ativvaxx.dll
  0xEDD22000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xEDB7F000 \??\C:\WINDOWS\system32\drivers\ACEDRV09.sys
  0xF704D000 \SystemRoot\system32\drivers\drvnddm.sys
  0xF7EA1000 \SystemRoot\system32\dla\tfsndres.sys
  0xEDB69000 \SystemRoot\system32\dla\tfsnifs.sys
  0xEDCE2000 \SystemRoot\system32\dla\tfsnopio.sys
  0xF7DC3000 \SystemRoot\system32\dla\tfsnpool.sys
  0xF7C45000 \SystemRoot\system32\dla\tfsnboio.sys
  0xF7A05000 \SystemRoot\system32\dla\tfsncofs.sys
  0xF7EA8000 \SystemRoot\system32\dla\tfsndrct.sys
  0xEDB50000 \SystemRoot\system32\dla\tfsnudf.sys
  0xEDB37000 \SystemRoot\system32\dla\tfsnudfa.sys
  0xED8B2000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xED96F000 \SystemRoot\System32\drivers\avmport.sys
  0xF7E1D000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xED84F000 \??\C:\Programme\BitDefender\BitDefender 2009\BDVEDISK.sys
  0xED6E0000 \SystemRoot\system32\DRIVERS\srv.sys
  0xED58B000 \SystemRoot\system32\drivers\wdmaud.sys
  0xED7A7000 \SystemRoot\system32\drivers\sysaudio.sys
  0xECFFB000 \SystemRoot\system32\drivers\bdfsfltr.sys
  0xECF1A000 \SystemRoot\System32\Drivers\HTTP.sys
  0xECF77000 \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys
  0xECDE8000 \SystemRoot\system32\drivers\bdfm.sys
  0xECC7D000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
       0 System Idle Process
       4 System
    1484 C:\WINDOWS\system32\smss.exe
    1964 csrss.exe
    1988 C:\WINDOWS\system32\winlogon.exe
    2032 C:\WINDOWS\system32\services.exe
    2044 C:\WINDOWS\system32\lsass.exe
     372 C:\WINDOWS\system32\ati2evxx.exe
     396 C:\WINDOWS\system32\svchost.exe
     500 svchost.exe
     700 C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
     712 C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
     832 C:\WINDOWS\system32\svchost.exe
     856 svchost.exe
    1032 svchost.exe
    1076 C:\WINDOWS\system32\spoolsv.exe
    1296 svchost.exe
    1452 C:\WINDOWS\system32\CTSVCCDA.EXE
    1492 C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
    1528 C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
    1544 C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe
    1564 C:\Programme\Funkwerk Secure IPSec Client\NCPRWSNT.EXE
    1604 C:\Programme\Funkwerk Secure IPSec Client\NCPSEC.EXE
    1840 C:\Programme\Funkwerk Secure IPSec Client\rwsrsu.exe
     544 C:\WINDOWS\system32\MsPMSPSv.exe
    2508 scardsvr.exe
    3720 alg.exe
    1764 C:\WINDOWS\explorer.exe
    1044 C:\Programme\Analog Devices\Core\smax4pnp.exe
     596 C:\WINDOWS\system32\dla\tfswctrl.exe
    2128 C:\WINDOWS\system32\rundll32.exe
    3928 C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe
    3984 C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
    1884 C:\Programme\BitDefender\BitDefender 2009\seccenter.exe
    2720 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`03ec1000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000008`8f7c6a00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000009`dae7b200  (NTFS)
\\.\H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (FAT32)

PhysicalDrive0 Model Number: Maxtor6Y080M0, Rev: YAR51HW0
PhysicalDrive1 Model Number: TOSHIBAMK2023GAS, Rev: MB00

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
     18 GB  \\.\PhysicalDrive1   RE: Unknown MBR code
            SHA1: 4597B86E5C26EF38751DCC0504D119D7F3351C8A


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Done!

Sehe ich richtig dass er den unbekannten Code auf Laufwerk H: gefunden hat? Laufwerk H: ist bei mir eine externe Freecom-Festplatte, die meine Firma mir für dienstliche Zwecke zur Verfügung gestellt hat.

Danke und Gruß
Schorsch

cosinus · 24.08.2010, 18:20

Sieht ok aus. Laufwerk H: ist eine ext. Platte? Als reine Datenablage?

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Schorsch En Hesse · 25.08.2010, 07:48

Mann Arne, Du warst ja gestern echt fleißig hier (Markus ebenso). Danke Euch!

Hier die Logs.
Malwarebytes:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4470

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.08.2010 22:54:22
mbam-log-2010-08-24 (22-54-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 312999
Laufzeit: 1 Stunde(n), 32 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 08/25/2010 at 00:57 AM

Application Version : 4.41.1000

Core Rules Database Version : 5400
Trace Rules Database Version: 3212

Scan type       : Complete Scan
Total Scan Time : 01:52:27

Memory items scanned      : 351
Memory threats detected   : 0
Registry items scanned    : 5318
Registry threats detected : 0
File items scanned        : 139567
File threats detected     : 4

Adware.Tracking Cookie
	memecounter.com [ C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\SYCGB7XD ]
	www.unitymedia.de [ C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\FE55W262 ]

Trojan.Agent/Gen-FakeAlert[Local]
	C:\PROGRAMME\FUNKWERK SECURE IPSEC CLIENT\RSUDATA\RWSRSU.EXE

Trojan.Agent/Gen-FakeAlert
	C:\PROGRAMME\WINAMP\PLUGINS\IN_FLAC.DLL

Ja, H: ist reiner Datenspeicher (der übrige Rechner gehört mir privat).

Danke und Grüße
Schorsch

22.08.2010, 18:41	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nach URL-Eingabe Umleitung auf falsche Seite Was ist mit Malwarebytes? Du hast da nur ein Hijackthis-Logfile gepostet! __________________ Logfiles bitte immer in CODE-Tags posten

24.08.2010, 18:20	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nach URL-Eingabe Umleitung auf falsche Seite Sieht ok aus. Laufwerk H: ist eine ext. Platte? Als reine Datenablage? Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Nach URL-Eingabe Umleitung auf falsche Seite

Log-Analyse und Auswertung: Nach URL-Eingabe Umleitung auf falsche Seite