| |
| |||||||
Log-Analyse und Auswertung: Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.08.2010, 14:02
| #1 |
| |  Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hallo zusammen ! Brauche dringend Eure Hilfe… Habe mir irgendwie einen Virus (vermutlich ein (oder mehrere?) Rootkit(s) ) eingefangen. Verdächtiges Symptom : Beim Anklicken von verdächtig scheinenden (zB sisidex.sys; s.u.), aber auch tendenziell unverdächtigen Dateien oder auch beim Nutzen der Suchfunktion fährt der PC erst runter und fährt dann mit der Warnmeldung „System wird nach schwerwiegendem Fehler ausgeführt.“ wieder hoch. Dasselbe Phänomen dann bei der Rootkit-Suche mit Avira AntiVir Personal – Free Antivirus. Läuft erst eine Zeit durch, aber sobald er tiefer in den Registry-Bereich eindringt, siehe oben… Beim Suchlauf mit GMER habe ich dann ein ähnliches Problem. Erst startet das Programm den Quickscan und findet auch (siehe meine logfiles). Starte ich aber über den Funden einen neuen Scan, listet das Programm noch mehr Funde genauer auf. Es kommt aber nicht zu einem abschließenden Logfile, weil der PC dann erneut runter- bzw hochfährt. Bei Hinweisen bitte berücksichtigen : Bin kein PC-Profi (sonst wär’ mir der !&%§ wohl auch nicht passiert), bei Erklärungen und vorausgesetztem Hintergrundwissen bitte beachten… Hier diverse Logfiles zum drüberschauen : GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit quick scan 2010-08-22 17:28:27 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys ---- Threads - GMER 1.0.15 ---- Thread System [4:3716] F284C30C ---- EOF - GMER 1.0.15 ---- GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit quick scan 2010-08-24 17:29:05 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys ---- EOF - GMER 1.0.15 ---- Die beiden folgenden Logfiles sind unvollständige zwischengespeicherte Logfiles im Deepscan, letzterer kurz vorm Runterfahren... GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-26 13:43:47 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys ---- System - GMER 1.0.15 ---- SSDT F8D47136 ZwCreateKey SSDT F8D4712C ZwCreateThread SSDT F8D4713B ZwDeleteKey SSDT F8D47145 ZwDeleteValueKey SSDT F8D4714A ZwLoadKey SSDT F8D47118 ZwOpenProcess SSDT F8D4711D ZwOpenThread SSDT F8D47154 ZwReplaceKey SSDT F8D4714F ZwRestoreKey SSDT F8D47140 ZwSetValueKey SSDT F8D47127 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7A85900] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7873340, 0x130AAF, 0xF8000020] .text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-26 13:44:41 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys ---- System - GMER 1.0.15 ---- SSDT F8D47136 ZwCreateKey SSDT F8D4712C ZwCreateThread SSDT F8D4713B ZwDeleteKey SSDT F8D47145 ZwDeleteValueKey SSDT F8D4714A ZwLoadKey SSDT F8D47118 ZwOpenProcess SSDT F8D4711D ZwOpenThread SSDT F8D47154 ZwReplaceKey SSDT F8D4714F ZwRestoreKey SSDT F8D47140 ZwSetValueKey SSDT F8D47127 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7A85900] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7873340, 0x130AAF, 0xF8000020] .text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) ---- Registry - GMER 1.0.15 ---- Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@BarID 59416 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@XPos -2 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@YPos -2 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@Docking 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockLeftPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockTopPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockRightPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockBottomPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatStyle 8192 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatXPos -2147483648 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatYPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\View@Show\20humbnain 1 Norman TDSS Cleaner Version 1.9.3 Copyright © 1990 - 2010, Norman ASA. Built 2010/05/25 11:56:03 Norman Scanner Engine Version: 6.04.08 Nvcbin.def Version: 6.04.00, Date: 2010/05/25 11:56:03, Variants: 57644 Scan started: 2010/08/24 14:57:00 Running pre-scan cleanup routine: Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3 Logged on user: COMPUTERNAME\Mein_Name Running anti-TDSS module: No TDSS infection detected TDSS scan complete. Will now scan for related malware Scanning bootsectors... Number of sectors found: 2 Number of sectors scanned: 2 Number of sectors not scanned: 0 Number of infections found: 0 Number of infections removed: 0 Total scanning time: 0s 50ms Scanning running processes and process memory... Number of processes/threads found: 3111 Number of processes/threads scanned: 3111 Number of processes/threads not scanned: 0 Number of infected processes/threads terminated: 0 Total scanning time: 45s Scanning file system... Scanning: prescan Scanning: C:\WINDOWS\system32\drivers\* C:\WINDOWS\system32\drivers\xofjweogvvlv.sys (Infected with W32/Rootkit.AMIO) Failed to remove driver: xofjweogvvlv Deleted file Running post-scan cleanup routine: Number of files found: 243263 Number of archives unpacked: 1629 Number of files scanned: 243236 Number of files not scanned: 27 Number of files skipped due to exclude list: 0 Number of infected files found: 1 Number of infected files repaired/deleted: 1 Number of infections removed: 1 Total scanning time: 1h 39m 9s ComboFix 10-08-23.02 – Mein_Name 24.08.2010 16:44:23.1.1 - x86 ausgeführt von:: c:\dokumente und einstellungen\ Mein_Name \Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_$SYS$ARIES -------\Legacy_$SYS$DRMSERVER -------\Legacy_CD_PROXY ((((((((((((((((((((((( Dateien erstellt von 2010-07-24 bis 2010-08-24 )))))))))))))))))))))))))))))) . 2010-08-22 16:45 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys 2010-08-22 16:43 . 2010-08-22 16:43 -------- d-----w- c:\programme\Panda Security 2010-08-22 15:03 . 2007-07-06 22:39 19248 ----a-w- c:\windows\system32\drivers\rspsc32.sys 2010-08-22 15:03 . 2010-08-22 15:03 -------- d-----w- c:\programme\RootKit Hook Analyzer 2010-07-31 16:04 . 2010-07-31 16:04 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-24 14:58 . 2008-06-26 14:44 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\OpenOffice.org2 2010-08-24 10:49 . 2007-05-23 19:23 50398 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\wklnhst.dat 2010-08-23 13:01 . 2006-04-21 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-08-22 17:30 . 2010-05-17 18:00 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\vlc 2010-08-22 12:50 . 2010-03-28 16:52 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\foobar2000 2010-08-14 21:13 . 2010-08-14 21:13 503808 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcp71.dll 2010-08-14 21:13 . 2010-08-14 21:13 12800 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-d3d.dll 2010-08-14 21:13 . 2010-08-14 21:13 61440 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-sse.dll 2010-08-14 21:13 . 2010-08-14 21:13 499712 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\jmc.dll 2010-08-14 21:13 . 2010-08-14 21:13 348160 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcr71.dll 2010-08-14 21:13 . 2007-12-06 07:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-08-14 21:12 . 2007-12-06 08:25 -------- d-----w- c:\programme\Java 2010-07-22 13:28 . 2006-12-08 19:49 -------- d-----w- c:\programme\Google 2010-07-17 03:00 . 2010-04-16 14:13 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-07-01 16:09 . 2010-06-09 15:04 -------- d-----w- c:\programme\DVDVideoSoftTB 2010-06-09 15:04 . 2010-06-09 15:04 52224 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll 2010-06-09 15:04 . 2010-06-09 15:04 101376 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll 2007-07-17 08:03 . 2007-07-17 08:03 1057656 ----a-w- c:\programme\dBpoweramp-Codec-m4a.exe 2007-07-17 07:59 . 2007-07-17 07:59 4215160 ----a-w- c:\programme\dMC-r12[1].2.exe 2004-08-17 16:16 . 2007-05-23 19:09 11322768 ------w- c:\programme\RealPlayer10GOLD_de.exe 2002-09-29 12:53 . 2005-01-03 18:19 1799685 ------w- c:\programme\QuickVCD.exe 2007-01-09 17:56 . 2007-01-09 17:56 8 --sh--r- c:\windows\system32\270A9C62DD.sys 2007-01-09 17:56 . 2007-01-09 17:56 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] 2010-07-16 17:40 2736736 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBJ"="c:\programme\Ahead\Nero BackItUp\nbj.exe" [2004-09-24 1916928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-02-27 3022848] "nwiz"="nwiz.exe" [2004-10-29 921600] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-02-27 49152] "WinampAgent"="c:\programme\Winamp2.9_Deutsch\Winampa.exe" [2003-04-17 12288] "FLMOFFICE4DMOUSE"="c:\programme\Labtec\Desktop\V5.1\moffice.exe" [2006-12-24 958464] "OFFICEKB"="c:\programme\Labtec\Desktop\V5.1\kbdap32a.exe" [2006-12-24 387584] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "InCD"="c:\programme\Ahead\InCD\InCD.exe" [2004-09-13 1450096] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-08-03 98304] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Lexmark 2200 Series"="c:\programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] c:\dokumente und einstellungen\ Mein_Name \Startmen\Programme\Autostart\ OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Soulseek\\slsk.exe"= "c:\\WINDOWS\\system32\\java.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SoulseekNS\\slsk.exe"= "c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.08.2010 18:45 28552] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.07.2009 13:35 108289] R2 SocketLock;Raw Socket Lock Driver;c:\windows\system32\socketlock.sys [03.01.2005 20:40 3712] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [22.07.2010 15:20 136176] S3 00f3b19d-b092-4bec-93e7-dd8faa798eac;00f3b19d-b092-4bec-93e7-dd8faa798eac;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?] S3 1a5B;1a5B;\??\c:\windows\system32\1a5B.sys --> c:\windows\system32\1a5B.sys [?] S3 2625;2625;\??\c:\windows\system32\2625.sys --> c:\windows\system32\2625.sys [?] S3 5be8;5be8;\??\c:\windows\system32\5be8.sys --> c:\windows\system32\5be8.sys [?] S3 8aeA;8aeA;\??\c:\windows\system32\8aeA.sys --> c:\windows\system32\8aeA.sys [?] S3 a546;a546;\??\c:\windows\system32\a546.sys --> c:\windows\system32\a546.sys [?] S3 bbe9;bbe9;\??\c:\windows\system32\bbe9.sys --> c:\windows\system32\bbe9.sys [?] S3 d194;d194;\??\c:\windows\system32\d194.sys --> c:\windows\system32\d194.sys [?] S3 drhard;DRHARD;c:\windows\system32\drivers\drhard.sys [17.05.2010 19:37 23600] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.06.2007 00:44 1527900] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [11.04.2010 22:55 38224] S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\5.tmp --> c:\windows\system32\5.tmp [?] S3 RSPSC;RSPSC;c:\windows\system32\drivers\rspsc.sys [26.05.2007 00:21 9472] S3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [02.01.2005 20:05 15104] S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [17.06.2007 00:43 544768] S3 WJB;WJB;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe [?] S4 BVOUMSUD;BVOUMSUD;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe [?] S4 KCQO;KCQO;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe [?] . Inhalt des "geplante Tasks" Ordners 2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20] 2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.sport1.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\ FF - component: c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl HKU-Default-Run-Symantec NetDriver Warning - c:\progra~1\SYMNET~1\SNDWarn.exe AddRemove-Audacity_is1 - c:\programme\Audacity\unins000.exe AddRemove-HijackThis - c:\dokumente und einstellungen\ Mein_Name \Eigene Dateien\HijackThis.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-08-24 16:56 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2] "ImagePath"="\??\c:\windows\system32\5.tmp" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\303\Shel-**] "Rev"=dword:00000000 "ColI+fo"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,ff,df,df,fd,0f, 00,04,00,21,00,10,00,28,00,3c,00,00,00,00,00,01,00,00,00,03,00,00,00,03,00,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3496) c:\programme\Labtec\Desktop\V5.1\MOUDL32A.DLL . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Ahead\InCD\InCDsrv.exe c:\windows\system32\LEXBCES.EXE c:\windows\system32\LEXPPS.EXE c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\RUNDLL32.EXE c:\programme\Labtec\Desktop\V5.1\MOUSE32A.EXE c:\programme\Lexmark 2200 Series\lxbvbmon.exe c:\programme\OpenOffice.org 2.2\program\soffice.exe c:\programme\OpenOffice.org 2.2\program\soffice.BIN c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-08-24 17:06:39 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-08-24 15:06 Vor Suchlauf: 213.549.056 Bytes frei Nach Suchlauf: 321.200.128 Bytes frei - - End Of File - - 40832EED506C30AA9CA55CC8D4C4A266 HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:51:47, on 23.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp2.9_Deutsch\Winampa.exe C:\Programme\Labtec\Desktop\V5.1\moffice.exe C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Labtec\Desktop\V5.1\MOUSE32A.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Mein_Name\Eigene Dateien\Weissnix.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sport1.de/ R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9_Deutsch\Winampa.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'Default user') O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 6955 bytes HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:05:51, on 24.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Mein_Name\Eigene Dateien\Weissnix.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sport1.de/ R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9_Deutsch\Winampa.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'Default user') O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: WJB - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe -- End of file - 6113 bytes HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:56:52, on 24.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp2.9_Deutsch\Winampa.exe C:\Programme\Labtec\Desktop\V5.1\moffice.exe C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Labtec\Desktop\V5.1\MOUSE32A.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\WINDOWS\system32\wscntfy.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Microsoft Works\WkDStore.exe C:\Dokumente und Einstellungen\Mein_Name\Eigene Dateien\Weissnix.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sport1.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9_Deutsch\Winampa.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: WJB - Unknown owner - C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe (file missing) -- End of file - 7098 bytes Rootkit Hook Analyzer : findet nix Avira AntiVir Personal (auch zB im Komplettdurchlauf oder im abgesicherten Modus) : findet nix F-Secure BlackLight : findet nix McAfee Stinger : findet nix McAfee Rootkit Detective : hatte einen Fund in : C:\System Volume Information\catalog.wci (keine Ahnung, ob das wirklich etwas Bedrohliches ist…) Malwarebytes Anti Malware : findet nix Spybot Search & Destroy : findet nix Danke für die Mühe ! |
|
26.08.2010, 14:29
| #2 |
  | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hi,
__________________Customscan mit OTL: * Starte bitte die OTL.exe. Vista/Win7-User mit Rechtsklick "als Administrator starten" * Kopiere nun den Inhalt in die Textbox. Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
* Klicke nun bitte auf den Quick Scan Button. * Klick auf OK . * Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread MBR-Check Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
chris
__________________ |
|
26.08.2010, 15:37
| #3 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Danke für Eure Antworten
__________________Here are the results...OTL Logfile: Code:
ATTFilter OTL logfile created on: 26.08.2010 16:07:11 - Run 1 OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Mein_Name\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,00 Mb Total Physical Memory | 333,00 Mb Available Physical Memory | 65,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 79,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 76,32 Gb Total Space | 0,04 Gb Free Space | 0,06% Space Free | Partition Type: NTFS Drive D: | 14,32 Gb Total Space | 0,01 Gb Free Space | 0,06% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: COMPUTERNAME Current User Name: Mein_Name Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 90 Days Output = Standard Quick Scan ========== Processes (SafeList) ========== PRC - [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2009.08.05 20:56:10 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe PRC - [2006.12.25 00:41:27 | 000,958,464 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\MOffice.exe PRC - [2006.12.25 00:41:27 | 000,387,584 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE PRC - [2006.12.25 00:41:27 | 000,356,352 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\mouse32a.exe PRC - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) -- C:\Programme\Ahead\InCD\InCDsrv.exe PRC - [2004.09.13 11:51:05 | 001,450,096 | ---- | M] (Ahead Software AG) -- C:\Programme\Ahead\InCD\InCD.exe PRC - [2004.02.13 09:37:00 | 000,094,208 | ---- | M] (Jetsoft Development Company) -- C:\Programme\Lexmark 2200 Series\lxbvbmon.exe PRC - [2004.02.13 09:15:00 | 000,057,344 | ---- | M] (Lexmark International, Inc.) -- C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe PRC - [2003.04.17 08:54:16 | 000,012,288 | ---- | M] () -- C:\Programme\Winamp2.9_Deutsch\winampa.exe ========== Modules (SafeList) ========== MOD - [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe MOD - [2008.04.14 08:51:08 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx MOD - [2006.12.25 00:41:27 | 000,057,344 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\mouDL32A.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe -- (WJB) SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe -- (KCQO) SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe -- (BVOUMSUD) SRV - [2009.08.05 20:56:10 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2006.12.14 16:00:00 | 000,544,768 | ---- | M] (Magix AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- (UPnPService) SRV - [2005.11.17 14:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance) SRV - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) [Auto | Stopped] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrvR) InCD Helper (read only) SRV - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) [Auto | Running] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrv) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\d194.sys -- (d194) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\bbe9.sys -- (bbe9) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\a546.sys -- (a546) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\8aeA.sys -- (8aeA) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5be8.sys -- (5be8) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\2625.sys -- (2625) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\1a5B.sys -- (1a5B) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Player\cds300.dll -- (00f3b19d-b092-4bec-93e7-dd8faa798eac) DRV - [2010.05.17 19:04:08 | 000,223,440 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\truecrypt.sys -- (truecrypt) DRV - [2010.03.18 11:17:09 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.06.30 09:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\pavboot.sys -- (pavboot) DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2007.01.31 15:33:46 | 000,005,632 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\avgarkt.sys -- (AVG Anti-Rootkit) DRV - [2007.01.21 17:42:52 | 000,009,472 | ---- | M] (Resplendence Software Projects Sp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rspsc.sys -- (RSPSC) DRV - [2007.01.18 14:00:28 | 000,003,968 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AvgArCln.sys -- (AvgArCln) DRV - [2005.12.01 11:49:22 | 000,023,600 | ---- | M] (Licensed for Gebhard Software) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\drhard.sys -- (drhard) DRV - [2005.03.01 06:01:40 | 000,392,704 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (senfilt) DRV - [2005.02.18 03:49:44 | 000,124,160 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys -- (SiSGbeXP) DRV - [2005.01.03 20:40:29 | 000,003,712 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\socketlock.sys -- (SocketLock) DRV - [2004.09.13 12:54:46 | 000,028,672 | ---- | M] (Ahead Software AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDpass.sys -- (InCDPass) DRV - [2004.09.13 12:54:06 | 000,093,440 | ---- | M] (Ahead Software AG) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\InCDfs.sys -- (InCDfs) DRV - [2004.09.13 11:54:54 | 000,027,648 | ---- | M] (Ahead Software AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\InCDrm.sys -- (incdrm) DRV - [2004.02.27 06:34:56 | 001,619,403 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2003.07.18 03:58:20 | 000,036,992 | R--- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SISAGPX.sys -- (SISAGP) DRV - [2002.08.20 11:19:08 | 000,009,472 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sisperf.sys -- (sisperf) DRV - [2002.07.30 10:46:28 | 000,005,760 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\siside.sys -- (SiSide) DRV - [2002.07.10 17:39:34 | 000,032,256 | R--- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC) DRV - [2002.05.28 10:21:10 | 000,048,896 | R--- | M] (Windows (R) 2000 DDK provider) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\sisidex.sys -- (sisidex) DRV - [2001.08.17 14:57:38 | 000,016,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\modemcsa.sys -- (MODEMCSA) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Sport1.de | Sport | News | Ergebnisse | Live Ticker | Tabelle | Bundesliga | Startseite | Sport1.de IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.29 23:39:58 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.04 20:44:56 | 000,000,000 | ---D | M] [2008.12.16 14:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Extensions [2010.08.26 14:39:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions [2010.06.09 17:04:47 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} [2010.08.26 14:39:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.04.16 16:13:51 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.14 23:12:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll O1 HOSTS File: ([2010.08.24 16:55:47 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\MOffice.exe () O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Ahead Software AG) O4 - HKLM..\Run: [Lexmark 2200 Series] C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe (Lexmark International, Inc.) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation) O4 - HKLM..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE () O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe (Silicon Integrated Systems Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp2.9_Deutsch\Winampa.exe () O4 - HKCU..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\nbj.exe (Ahead Software AG) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\ Mein_Name \Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (VisualWare) O9 - Extra 'Tools' menuitem : VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (VisualWare) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.12.24 12:16:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2004.03.28 13:41:20 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 90 Days ========== [2010.08.26 16:06:33 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Recent [2010.08.26 15:34:36 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe [2010.08.24 21:22:15 | 000,000,000 | ---D | C] -- C:\Avenger [2010.08.24 19:21:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2010.08.24 17:12:13 | 000,007,680 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\RKL7.tmp.sys [2010.08.24 13:09:53 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2010.08.24 13:09:53 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2010.08.24 13:09:53 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2010.08.24 13:09:53 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2010.08.24 13:09:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.08.24 13:09:08 | 000,000,000 | ---D | C] -- C:\Qoobox [2010.08.24 12:44:18 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2010.08.24 11:24:04 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\HJTInstall.exe [2010.08.24 11:11:24 | 002,661,704 | ---- | C] (Norman ASA) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\Norman_TDSS_Cleaner.exe [2010.08.22 18:45:10 | 000,028,552 | ---- | C] (Panda Security, S.L.) -- C:\WINDOWS\System32\drivers\pavboot.sys [2010.08.22 18:43:50 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security [2010.08.22 17:03:26 | 000,019,248 | ---- | C] (Resplendence Software Projects Sp.) -- C:\WINDOWS\System32\drivers\rspsc32.sys [2010.08.22 17:03:25 | 000,000,000 | ---D | C] -- C:\Programme\RootKit Hook Analyzer [2010.07.31 18:04:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help [2010.07.31 18:04:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Help [2010.07.22 15:26:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google [2010.07.22 15:21:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Temp [2010.07.22 15:21:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google [2010.06.09 17:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB [2010.06.09 17:04:50 | 000,000,000 | ---D | C] -- C:\Programme\Conduit [2010.06.09 17:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Conduit [2010.06.09 17:04:49 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoftTB [2010.06.09 16:49:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\DVDVideoSoft [2010.06.09 16:49:37 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DVDVideoSoft [2010.06.09 16:49:37 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft [2007.05.23 21:09:44 | 011,322,768 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RealPlayer10GOLD_de.exe [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 90 Days ========== [2010.08.26 15:46:24 | 019,136,512 | -H-- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \NTUSER.DAT [2010.08.26 15:41:05 | 000,000,888 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.08.26 15:41:00 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.26 15:40:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.26 15:40:57 | 536,203,264 | -HS- | M] () -- C:\hiberfil.sys [2010.08.26 15:36:57 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\MBRCheck.exe [2010.08.26 15:35:24 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\Microsoft Word.lnk [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe [2010.08.26 15:26:05 | 000,000,892 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.08.26 14:59:38 | 000,050,426 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\wklnhst.dat [2010.08.26 13:30:18 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.24 22:01:15 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \ntuser.ini [2010.08.24 21:42:23 | 000,000,147 | ---- | M] () -- C:\WINDOWS\winamp.ini [2010.08.24 21:08:07 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\avenger.exe [2010.08.24 21:05:41 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\mbr.exe [2010.08.24 17:12:13 | 000,007,680 | ---- | M] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\RKL7.tmp.sys [2010.08.24 16:57:27 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.08.24 16:55:47 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.08.24 12:49:51 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\GMER2.doc [2010.08.24 11:41:53 | 000,231,390 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\RootkitRevealer.zip [2010.08.24 11:38:58 | 003,826,032 | R--- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\ComboFix.exe [2010.08.24 11:24:09 | 000,812,344 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\HJTInstall.exe [2010.08.24 11:11:51 | 002,661,704 | ---- | M] (Norman ASA) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\Norman_TDSS_Cleaner.exe [2010.08.23 18:36:41 | 000,000,815 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AVG Anti-Rootkit Free.lnk [2010.08.14 21:20:12 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.07.31 18:37:23 | 000,000,394 | ---- | M] () -- C:\WINDOWS\lexstat.ini [2010.07.30 23:32:36 | 000,000,097 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \default.pls [2010.07.22 15:29:58 | 000,001,894 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.07.01 19:30:50 | 000,001,716 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.06.18 19:22:06 | 000,052,736 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.06.10 00:10:02 | 000,044,032 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\MADNESS.doc [2010.06.06 23:24:31 | 000,129,024 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\Abfahrt.doc [2010.05.31 20:00:41 | 000,008,253 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \ Mein_Name.elfo [2010.05.31 19:58:34 | 000,010,231 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Mein_Name.pfx [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.26 15:36:56 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\MBRCheck.exe [2010.08.24 21:08:07 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\avenger.exe [2010.08.24 21:05:41 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\mbr.exe [2010.08.24 14:53:09 | 536,203,264 | -HS- | C] () -- C:\hiberfil.sys [2010.08.24 13:09:53 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010.08.24 13:09:53 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010.08.24 13:09:53 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010.08.24 13:09:53 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010.08.24 13:09:53 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010.08.24 12:49:50 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\GMER2.doc [2010.08.24 11:41:45 | 000,231,390 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\RootkitRevealer.zip [2010.08.24 11:38:56 | 003,826,032 | R--- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\ComboFix.exe [2010.07.22 15:29:58 | 000,001,894 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.07.22 15:21:05 | 000,000,892 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.07.22 15:21:04 | 000,000,888 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.06.09 20:08:17 | 000,044,032 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\MADNESS.doc [2010.06.06 23:22:33 | 000,129,024 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\Abfahrt.doc [2010.05.31 19:58:09 | 000,010,231 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \ Mein_Name.pfx [2010.05.31 19:03:24 | 000,008,253 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \ Mein_Name.elfo [2010.05.17 19:33:06 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010.05.17 19:21:13 | 000,419,280 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.03.29 22:37:18 | 000,000,394 | ---- | C] () -- C:\WINDOWS\lexstat.ini [2010.03.29 22:36:50 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbvvs.dll [2010.03.29 22:36:20 | 000,000,187 | ---- | C] () -- C:\WINDOWS\System32\lxbvcoin.ini [2007.12.05 21:33:04 | 000,000,250 | ---- | C] () -- C:\WINDOWS\gmer.ini [2007.12.05 21:33:03 | 000,585,791 | ---- | C] () -- C:\WINDOWS\gmer.dll [2007.07.17 10:03:41 | 001,057,656 | ---- | C] () -- C:\Programme\dBpoweramp-Codec-m4a.exe [2007.07.17 09:59:52 | 004,215,160 | ---- | C] () -- C:\Programme\dMC-r12[1].2.exe [2007.06.17 01:09:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\AVSDVDPlayer.m3u [2007.06.17 00:41:29 | 000,006,642 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2007.06.16 23:43:15 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2007.06.16 23:43:15 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2007.05.23 21:23:55 | 000,050,426 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\wklnhst.dat [2007.05.01 15:23:39 | 000,003,051 | ---- | C] () -- C:\WINDOWS\tm.ini [2007.04.23 02:15:29 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2007.03.03 14:32:04 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.02.24 22:05:42 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI [2007.01.11 14:45:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PhotoNow.INI [2007.01.09 19:56:42 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\270A9C62DD.sys [2007.01.09 19:56:07 | 000,004,704 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2006.10.30 15:01:04 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2006.04.28 08:54:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2005.12.16 15:30:24 | 000,002,733 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2005.08.03 14:30:19 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2005.06.19 18:59:33 | 000,052,736 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2005.03.19 16:38:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Ui.INI [2005.03.08 11:52:18 | 000,000,089 | ---- | C] () -- C:\WINDOWS\snapshot.ini [2005.03.07 11:38:09 | 000,000,782 | ---- | C] () -- C:\WINDOWS\dwk3.ini [2005.03.07 11:17:44 | 000,000,051 | ---- | C] () -- C:\WINDOWS\pgmagic2.ini [2005.03.07 11:16:49 | 000,000,412 | ---- | C] () -- C:\WINDOWS\gstutils.ini [2005.03.07 11:16:49 | 000,000,389 | ---- | C] () -- C:\WINDOWS\gstbrows.ini [2005.03.07 11:16:34 | 000,007,711 | ---- | C] () -- C:\WINDOWS\coldraw.ini [2005.03.07 11:16:33 | 000,029,536 | ---- | C] () -- C:\WINDOWS\dib.drv [2005.03.07 11:16:33 | 000,011,424 | ---- | C] () -- C:\WINDOWS\dwk2comp.dll [2005.03.07 11:16:33 | 000,004,772 | ---- | C] () -- C:\WINDOWS\gstfonts.ini [2005.03.07 11:16:33 | 000,003,612 | ---- | C] () -- C:\WINDOWS\fntalias.ini [2005.03.07 11:12:00 | 000,000,046 | RH-- | C] () -- C:\WINDOWS\PAWSETUP.INI [2005.03.07 11:11:55 | 000,000,473 | ---- | C] () -- C:\WINDOWS\PAW.INI [2005.02.20 21:10:00 | 000,028,672 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [2005.02.20 21:09:41 | 000,132,864 | R--- | C] () -- C:\WINDOWS\Cmuda.ini [2005.01.05 19:41:01 | 000,004,103 | ---- | C] () -- C:\WINDOWS\DBCDLFMT.INI [2005.01.05 19:40:00 | 000,004,139 | ---- | C] () -- C:\WINDOWS\DBROUTE.INI [2005.01.03 20:40:29 | 000,003,712 | ---- | C] () -- C:\WINDOWS\System32\socketlock.sys [2005.01.03 20:19:02 | 001,799,685 | ---- | C] () -- C:\Programme\QuickVCD.exe [2005.01.03 20:11:53 | 000,000,147 | ---- | C] () -- C:\WINDOWS\winamp.ini [2005.01.02 20:05:03 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\12kUBusd.dll [2004.12.24 12:42:33 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2004.12.24 12:31:08 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI [2004.12.24 12:31:08 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI [2004.12.24 12:31:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini [2004.12.24 12:31:05 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll [2004.12.24 12:29:35 | 000,139,264 | R--- | C] () -- C:\WINDOWS\System32\IDEproperty.dll [2004.12.24 12:28:08 | 000,032,768 | ---- | C] () -- C:\WINDOWS\SIS_LIB.DLL [2004.12.24 12:28:07 | 000,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys [2004.09.28 23:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2002.03.21 16:39:02 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL [2002.03.21 14:51:52 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll [2002.03.21 14:51:52 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll [2002.03.21 14:51:52 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll [2002.03.21 14:51:52 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll [2002.03.21 14:51:52 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll [2002.03.21 14:51:52 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll [2002.03.21 14:51:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll [2002.03.20 23:01:06 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll ========== LOP Check ========== [2004.12.24 12:40:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2010.03.23 19:44:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular [2007.06.17 00:44:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2008.03.03 18:17:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan [2010.05.18 15:53:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Soulseek [2010.05.17 19:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrueCrypt [2004.12.24 12:44:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\ACD Systems [2010.03.23 19:46:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\elsterformular [2010.08.22 14:50:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\foobar2000 [2007.06.17 01:02:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\gtopala [2007.06.18 12:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\ScreenSeven ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\MFCUIA32.DLL: SummaryInformation < End of report > OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 26.08.2010 16:07:11 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\ Mein_Name \Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
511,00 Mb Total Physical Memory | 333,00 Mb Available Physical Memory | 65,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,32 Gb Total Space | 0,04 Gb Free Space | 0,06% Space Free | Partition Type: NTFS
Drive D: | 14,32 Gb Total Space | 0,01 Gb Free Space | 0,06% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: COMPUTERNAME
Current User Name: Mein_Name
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Disabled:iTunes -- (Apple Computer, Inc.)
"C:\Programme\Soulseek\slsk.exe" = C:\Programme\Soulseek\slsk.exe:*:Enabled:SoulSeek -- ()
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Disabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.)
"C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe" = C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe:LocalSubNet:Enabled:Magix UPnP Service -- (Magix AG)
"C:\Programme\SoulseekNS\slsk.exe" = C:\Programme\SoulseekNS\slsk.exe:*:Enabled:SoulSeek -- ()
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{053B3DA8-91B5-4682-A130-715412A1A252}" = Paint.NET v3.5.4
"{05440044-64A6-4248-A026-9745C1E9E159}" = Microsoft Encarta Enzyklopädie 2005
"{0A22567E-86DA-4C7A-B4A4-4FFE32521D98}_is1" = TOPP Vorlagen-Druckstudio (3529)
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3F262ADC-5AD2-48E5-A586-44315E04A9E2}" = Microsoft Picture It!-Bibliothek 10
"{42756145-9997-4D28-809B-8756BFD00106}" = Microsoft Picture It! Foto Premium 10
"{47808F78-F178-49DC-B708-15FE538B16FF}" = iTunes
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5058B085-AA79-41E5-A726-681B4C4B846E}" = ACDSee 5.0 PowerPack
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{67E4EE98-59F4-4220-89A6-A20AF5BEC689}" = Microsoft AutoRoute 2005
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7B63B2922B174135AFC0E1377DD81EC2}" =
"{89B078C4-50B0-453E-BF53-3A7E6A0D85FA}" = Windows Support Tools
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F7FC79B-3059-4264-9450-39EB368E3225}" = Microsoft Digital Image Library 9 - Blocker
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C2D129C0-7508-11DF-9F1B-005056806466}" = Google Earth
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E7DA9B23-5715-45D8-965E-E76688A2B948}" = OpenOffice.org 2.2
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F69FD33C-8815-46BF-9134-A643DE68F3C0}" = WinFast(R) Display Driver
"7-Zip" = 7-Zip 4.65
"ActiveScan 2.0" = Panda ActiveScan 2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audiograbber" = Audiograbber 1.83 SE
"Audiograbber Lame PlugIn" = Audiograbber Lame PlugIn 3.96 APS
"AVGantiRootkit" = AVG Anti-Rootkit Free
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS DVD Player_is1" = AVS DVD Player version 2.4
"CCleaner" = CCleaner
"C-Media Audio" = C-Media 3D Audio
"C-Media Audio Driver" = C-Media WDM Audio Driver
"DATA BECKER - CD-Druckerei" = DATA BECKER - CD-Druckerei
"dBpoweramp m4a Codec" = dBpoweramp m4a Codec
"dBpoweramp Music Converter" = dBpoweramp Music Converter
"Der große Routenplaner" = Der große Routenplaner
"Dr. Hardware 2010_is1" = Dr. Hardware 2010 10.2d
"DSGPlayer" = DEUTSCHLAND SPIELT GAME CENTER
"DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
"ElsterFormular 11.2.0.4074" = ElsterFormular
"Firebird SQL Server D" = Firebird SQL Server - MAGIX Edition 2.0.0.1 (D)
"FLAC" = FLAC 1.2.1b (remove only)
"foobar2000" = foobar2000 v1.0.1
"Free DVD MP3 Ripper_is1" = Free DVD MP3 Ripper 1.12
"Free Video to Mp3 Converter_is1" = Free Video to Mp3 Converter version 2.3
"GPL Ghostscript 8.56" = GPL Ghostscript 8.56
"GPL Ghostscript Fonts" = GPL Ghostscript Fonts
"HijackThis" = HijackThis 2.0.2
"HookAnalyzer_is1" = RootKit Hook Analyzer 3.02
"Hühner-Rache (VOLLVERSION)" = Hühner-Rache (VOLLVERSION)
"InstallShield_{47808F78-F178-49DC-B708-15FE538B16FF}" = iTunes
"Labtec Desktop V5.1" = Labtec Desktop V5.1
"Lexmark 2200 Series" = Lexmark 2200 Series
"MAGIX Music Manager 2007 D" = MAGIX Music Manager 2007 8.1.1.108 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mp3tag" = Mp3tag v2.38
"Mustek 1200 UB v2.0a" = Mustek 1200 UB v2.0a
"MUSTEK 1200 UB v2.1" = MUSTEK 1200 UB v2.1
"NeroMultiInstaller!UninstallKey" = Nero Suite
"PictureItPrem_v10" = Microsoft Picture It! Foto Premium 10
"QuickTime" = QuickTime
"RealAlt_is1" = Real Alternative 1.7.5
"RootKit Hook Analyzer_is1" = RootKit Hook Analyzer 3.00
"Scribus 1.3.3" = Scribus 1.3.3.9
"Security Task Manager" = Security Task Manager 1.7d
"Shock Desktop 3D v0.5" = Shock Desktop 3D v0.5
"Shockwave" = Shockwave
"SiSLan" = SiS 900 PCI Fast Ethernet Adapter Driver
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.4
"Soulseek" = SoulSeek Client 156c
"Soulseek2" = SoulSeek 157 NS 13e
"SpeedFan" = SpeedFan (remove only)
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.5.2.20
"ST6UNST #1" = QuickVCD Player v3.0
"TrueCrypt" = TrueCrypt
"VisualRoute" = VisualRoute
"VLC media player" = VLC media player 1.0.5
"Winamp" = Winamp (nur entfernen)
"Winamp 5.02 Deutsche Sprachdatei v14" = Deutsche Sprachdatei für Winamp 5.02 v14
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"xp-AntiSpy" = xp-AntiSpy 3.94-2
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 23.08.2010 08:26:08 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 23.08.2010 09:26:09 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 23.08.2010 10:26:05 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 23.08.2010 16:26:10 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 23.08.2010 17:26:11 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 23.08.2010 18:26:19 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 24.08.2010 10:26:07 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 24.08.2010 11:26:20 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 24.08.2010 12:26:13 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
Error - 24.08.2010 13:26:06 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =
[ System Events ]
Error - 24.08.2010 05:10:58 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:10:58 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:01 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:01 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:01 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:05 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:05 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:05 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:07 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.08.2010 05:11:07 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
< End of report >
MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000003d Kernel Drivers (total 138): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D0000 \WINDOWS\system32\hal.dll 0xF8B25000 \WINDOWS\system32\KDCOM.DLL 0xF8A35000 \WINDOWS\system32\BOOTVID.dll 0xF84F5000 ACPI.sys 0xF8B27000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF84E4000 pci.sys 0xF8625000 isapnp.sys 0xF8B29000 avgarkt.sys 0xF8BED000 pciide.sys 0xF88A5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8635000 MountMgr.sys 0xF84C5000 ftdisk.sys 0xF8B2B000 dmload.sys 0xF849F000 dmio.sys 0xF88AD000 PartMgr.sys 0xF8B2D000 siside.sys 0xF88B5000 pavboot.sys 0xF8645000 VolSnap.sys 0xF8487000 atapi.sys 0xF8655000 disk.sys 0xF8665000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF8467000 fltmgr.sys 0xF8455000 sr.sys 0xF8675000 PxHelp20.sys 0xF843E000 KSecDD.sys 0xF83B1000 Ntfs.sys 0xF8384000 NDIS.sys 0xF8A39000 sisperf.sys 0xF8685000 uagp35.sys 0xF8695000 sisidex.sys 0xF86A5000 SISAGPX.sys 0xF836A000 Mup.sys 0xF86B5000 gagp30kx.sys 0xF8CD4000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF8715000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF8AD1000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7BCF000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF8725000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF8735000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF89AD000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7BBE000 \SystemRoot\system32\DRIVERS\psched.sys 0xF8745000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF89B5000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF89BD000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF8755000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF7C76000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7B9B000 \SystemRoot\system32\DRIVERS\ks.sys 0xF89C5000 \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys 0xF89CD000 \SystemRoot\System32\DRIVERS\InCDPass.sys 0xF89D5000 \SystemRoot\System32\Drivers\incdrm.SYS 0xF7C66000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7B65000 \SystemRoot\system32\drivers\smwdm.sys 0xF7B41000 \SystemRoot\system32\drivers\portcls.sys 0xF7C56000 \SystemRoot\system32\drivers\drmk.sys 0xF7B21000 \SystemRoot\system32\drivers\aeaudio.sys 0xF7AC1000 \SystemRoot\system32\drivers\senfilt.sys 0xF89DD000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF7A9D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF89E5000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7A7E000 \SystemRoot\system32\DRIVERS\SiSGbeXP.sys 0xF7907000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF78F3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF78BD000 \SystemRoot\system32\DRIVERS\HSFBS2S2.sys 0xF77BE000 \SystemRoot\system32\DRIVERS\HSFDPSP2.sys 0xF7716000 \SystemRoot\system32\DRIVERS\HSFCXTS2.sys 0xF89ED000 \SystemRoot\System32\Drivers\Modem.SYS 0xF76E6000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7C46000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF89F5000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF89FD000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8B51000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7660000 \SystemRoot\system32\DRIVERS\update.sys 0xF8AFD000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF7C36000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF764C000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7C26000 \SystemRoot\system32\DRIVERS\serial.sys 0xF8B01000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF8A05000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF7C16000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF7C06000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8B55000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF8A0D000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF8B5B000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8CED000 \SystemRoot\System32\Drivers\Null.SYS 0xF8B5D000 \SystemRoot\System32\Drivers\Beep.SYS 0xF8CEF000 \SystemRoot\System32\DRIVERS\AvgArCln.sys 0xF8A1D000 \SystemRoot\System32\drivers\vga.sys 0xF8B5F000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8B61000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF8B63000 \SystemRoot\System32\Drivers\InCDrec.SYS 0xF6423000 \SystemRoot\System32\Drivers\InCDfs.SYS 0xF8A25000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF8A2D000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF8AB5000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF6410000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF63B7000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF638F000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF8ABD000 \SystemRoot\System32\drivers\ws2ifsl.sys 0xF636D000 \SystemRoot\System32\drivers\afd.sys 0xF8775000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF6338000 \SystemRoot\System32\drivers\truecrypt.sys 0xF630D000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF6275000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF87A5000 \SystemRoot\System32\Drivers\Fips.SYS 0xF624F000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF87B5000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF6233000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8B67000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF88E5000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xF76CE000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xF88ED000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xF76CA000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF87C5000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF88F5000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF8835000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF6153000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8B35000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF6183000 \SystemRoot\System32\drivers\Dxapi.sys 0xF8945000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8D0E000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xF4FA6000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF8C76000 \??\C:\WINDOWS\system32\socketlock.sys 0xF4F6E000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xF3C31000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF8BA9000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xF3B51000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys 0xF3A4F000 \SystemRoot\system32\DRIVERS\srv.sys 0xF394A000 \SystemRoot\system32\drivers\wdmaud.sys 0xF4E66000 \SystemRoot\system32\drivers\sysaudio.sys 0xF327A000 \SystemRoot\System32\Drivers\HTTP.sys 0xF310A000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF2014000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 588 C:\WINDOWS\system32\smss.exe 640 csrss.exe 664 C:\WINDOWS\system32\winlogon.exe 708 C:\WINDOWS\system32\services.exe 728 C:\WINDOWS\system32\lsass.exe 888 C:\WINDOWS\system32\svchost.exe 948 svchost.exe 988 C:\WINDOWS\system32\svchost.exe 1008 C:\Programme\Ahead\InCD\InCDsrv.exe 1180 svchost.exe 1248 svchost.exe 1332 C:\WINDOWS\system32\LEXBCES.EXE 1356 C:\WINDOWS\system32\spoolsv.exe 1376 C:\WINDOWS\system32\LEXPPS.EXE 1556 C:\Programme\Avira\AntiVir Desktop\sched.exe 1768 C:\WINDOWS\explorer.exe 1776 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1888 C:\Programme\Java\jre6\bin\jqs.exe 1944 C:\WINDOWS\system32\nvsvc32.exe 2028 C:\WINDOWS\system32\svchost.exe 496 C:\WINDOWS\system32\rundll32.exe 504 C:\Programme\Winamp2.9_Deutsch\winampa.exe 520 C:\Programme\Labtec\Desktop\V5.1\MOffice.exe 532 C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE 628 C:\Programme\Ahead\InCD\InCD.exe 684 C:\Programme\QuickTime\qttask.exe 1048 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1056 C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe 1092 C:\Programme\Labtec\Desktop\V5.1\mouse32a.exe 1204 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1260 C:\Programme\Lexmark 2200 Series\lxbvbmon.exe 2072 C:\Programme\OpenOffice.org 2.2\program\soffice.exe 2088 C:\Programme\OpenOffice.org 2.2\program\soffice.bin 2640 alg.exe 1528 C:\Dokumente und Einstellungen\Mein_Name\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: Maxtor6Y080L0, Rev: YAR41BW0 PhysicalDrive1 Model Number: WDCWD153AA-00BAA0, Rev: 10.09K11 Size Device Name MBR Status -------------------------------------------- 76 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 14 GB \\.\PhysicalDrive1 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
|
26.08.2010, 19:03
| #4 | |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hi, einige der Dateien können auch von den Rootkitscannern sein... Du hast da ein bisschen viel drauf, bitte wieder deinstallieren! Fix für OTL:
Code:
ATTFilter
:OTL
SRV - File not found [On_Demand | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe -- (WJB)
SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe -- (KCQO)
SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe -- (BVOUMSUD)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\bbe9.sys -- (bbe9)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\a546.sys -- (a546)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\8aeA.sys -- (8aeA)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5be8.sys -- (5be8)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\2625.sys -- (2625)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\1a5B.sys -- (1a5B)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Player\cds300.dll -- (00f3b19d-b092-4bec-93e7-dd8faa798eac)
:Commands
[emptytemp]
[Reboot]
Wieso fehlt die Datei "C:\WINDOWS\System32\hidserv.dll", hast Du die gelöscht? Wa "richtiges" ist nicht zu finden... mal sehen: OSAM Prüft Programme/Treiber die gestartet werden online. Folge den Anweisungen hier http://www.trojaner-board.de/84180-a...n-manager.html zur Erstellung eines Logs und poste das hier in Deinem Thread. MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Achtung! Vista und Win7-User müssen mbr.exe als "Administrator" ausführen. Dazu muss die Console mit Adminrechten ausgestattet sein, am Besten einen Link auf dem Desktop wie folgt erstellen: Rechtsklick auf den Desktop, Neu-Verknüpfung erstellen, Ziel: C:\Windows\System32\cmd.exe Name eingeben, Fertig. Dann Rechtsklick auf die neu erstellte Verknüpfung und "Ausführen als Administrator" auswählen, UAC und wie oben beschrieben in das Verzeichnis wechseln und mbr.exe starten. Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Was macht der Rechner, läuft er immer noch instabil? chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
26.08.2010, 19:32
| #5 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. OSAM-Sscan : OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 20:21:14 on 26.08.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.8 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl "QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "00f3b19d-b092-4bec-93e7-dd8faa798eac" (00f3b19d-b092-4bec-93e7-dd8faa798eac) - ? - E:\Player\cds300.dll (File not found) "1a5B" (1a5B) - ? - C:\WINDOWS\system32\1a5B.sys (File not found) "2625" (2625) - ? - C:\WINDOWS\system32\2625.sys (File not found) "5be8" (5be8) - ? - C:\WINDOWS\system32\5be8.sys (File not found) "8aeA" (8aeA) - ? - C:\WINDOWS\system32\8aeA.sys (File not found) "a546" (a546) - ? - C:\WINDOWS\system32\a546.sys (File not found) "Add Performance Filter Driver" (sisperf) - "Silicon Integrated Systems Corp." - C:\WINDOWS\System32\drivers\sisperf.sys "AVG Anti-Rootkit" (AVG Anti-Rootkit) - "GRISOFT, s.r.o." - C:\WINDOWS\System32\DRIVERS\avgarkt.sys "Avg Anti-Rootkit Clean Driver" (AvgArCln) - "GRISOFT, s.r.o." - C:\WINDOWS\System32\DRIVERS\AvgArCln.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "bbe9" (bbe9) - ? - C:\WINDOWS\system32\bbe9.sys (File not found) "catchme" (catchme) - ? - C:\ComboFix\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "d194" (d194) - ? - C:\WINDOWS\system32\d194.sys (File not found) "DRHARD" (drhard) - "Licensed for Gebhard Software" - C:\WINDOWS\system32\DRIVERS\DRHARD.SYS "GEAR CDRom Filter" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "InCD File System" (InCDfs) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\InCDfs.sys "InCD Reader" (incdrm) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\incdrm.sys "InCDPass" (InCDPass) - "Ahead Software AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys "InCDrec" (InCDrec) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\InCDrec.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\5.tmp (File not found) "nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys "pavboot" (pavboot) - "Panda Security, S.L." - C:\WINDOWS\System32\drivers\pavboot.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\DRIVERS\PxHelp20.sys "Raw Socket Lock Driver" (SocketLock) - ? - C:\WINDOWS\system32\socketlock.sys (File found, but it contains no detailed information) "RSPSC" (RSPSC) - "Resplendence Software Projects Sp." - C:\WINDOWS\system32\drivers\rspsc.sys "sisidex" (sisidex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\drivers\sisidex.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "xofjweogvvlv" (xofjweogvvlv) - ? - C:\WINDOWS\System32\drivers\xofjweogvvlv.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {FED7043D-346A-414D-ACD7-550D052499A7} "dBpShell Class" - "Illustrate" - C:\Programme\Illustrate\dBpoweramp\dBShell.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll {2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} "dMCIShell Class" - "Illustrate" - C:\Programme\Illustrate\dBpoweramp\dMCShell.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Computer, Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll {950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Ahead Software AG" - C:\Programme\Ahead\InCD\incdshx.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? - (File not found | COM-object registry key not found) {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://go.microsoft.com/fwlink/?linkid=39204 {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll {8C85E2EE-9FD6-11D5-B770-504D54C10000} "Trace" - "VisualWare" - C:\Programme\VisualRoute\vrie.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Mein_Name\Startmenü\Programme\Autostart\desktop.ini "OpenOffice.org 2.2.lnk" - ? - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe (Shortcut exists | File found, but it contains no detailed information | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "NBJ" - "Ahead Software AG" - "C:\Programme\Ahead\Nero BackItUp\nbj.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "FLMOFFICE4DMOUSE" - ? - C:\Programme\Labtec\Desktop\V5.1\moffice.exe "InCD" - "Ahead Software AG" - C:\Programme\Ahead\InCD\InCD.exe "Lexmark 2200 Series" - "Lexmark International, Inc." - "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe "NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit "nwiz" - "NVIDIA Corporation" - nwiz.exe /install "OFFICEKB" - ? - C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe "QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime "SiSUSBRG" - "Silicon Integrated Systems Corp." - C:\WINDOWS\SiSUSBrg.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "WinampAgent" - ? - "C:\Programme\Winamp2.9_Deutsch\Winampa.exe" (File found, but it contains no detailed information) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "InCD Helper" (InCDsrv) - "Ahead Software AG" - C:\Programme\Ahead\InCD\InCDsrv.exe "InCD Helper (read only)" (InCDsrvR) - "Ahead Software AG" - C:\Programme\Ahead\InCD\InCDsrv.exe "iPod Service" (iPodService) - "Apple Computer, Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe "UPnPService" (UPnPService) - "Magix AG" - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe "WJB" (WJB) - ? - C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\WJB.exe (File not found) [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBR-Log : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Wieso fehlt die Datei "C:\WINDOWS\System32\hidserv.dll", hast Du die gelöscht? Nicht, dass ich wüsste. Was macht der Rechner, läuft er immer noch instabil? Es hat sich nichts geändert. Rechner läuft zwar stabil, jedoch sind einige Ordner (scheinbar nach dem Zufallsprinzip, momentan der Papierkorb) tabu. Klicke ich, flitscht mir die Kiste aus... |
|
26.08.2010, 20:52
| #6 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hi, bitte das OTL-Log abfahren, aber vorher die Pfade anpassen (" Mein_Name ~1" durch den richtigen ersetzen!)... Das Ergebnis-Log dann bitte posten! Kann ein Berechtigungsproblem oder Verknüpfungsproblem sein.... System Reparieren: Vorher Backup machen Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... chris
__________________ --> Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. |
|
27.08.2010, 19:53
| #7 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. So, hier das OTL-Log. Ist allerdings nur die 2.Version, da beim Versuch das Ergebnis unter "Speichern unter" abzulegen, der PC runter- bzw. anschließend hochfuhr. Wollte dann im Ordner _OTL nachschauen, angeklickt, same procedure... Und noch etwas, was ich erwähnenswert finde...Nach dem Fix durch OTL und dem geforderten Neustart dauerte das Herunterfahren beide Male so extrem lange, dass ich es jeweils manuell durchführen musste. OTL-Log: All processes killed Error: Unable to interpret <SRV - File not found [On_Demand | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe -- (WJB)> in the current context! Error: Unable to interpret <SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name~1\LOKALE~1\Temp\KCQO.exe -- (KCQO)> in the current context! Error: Unable to interpret <SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe -- (BVOUMSUD)> in the current context! Error: Unable to interpret <DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\bbe9.sys -- (bbe9)> in the current context! Error: Unable to interpret <DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\a546.sys -- (a546)> in the current context! Error: Unable to interpret <DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\8aeA.sys -- (8aeA)> in the current context! Error: Unable to interpret <DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5be8.sys -- (5be8)> in the current context! Error: Unable to interpret <DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\2625.sys -- (2625)> in the current context! Error: Unable to interpret <DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\1a5B.sys -- (1a5B)> in the current context! Error: Unable to interpret <DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Player\cds300.dll -- (00f3b19d-b092-4bec-93e7-dd8faa798eac)> in the current context! ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Administrator.Mein_Name ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: mr.pinkeyes ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Mein_Name ->Temp folder emptied: 4546 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 665600 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1,00 mb OTL by OldTimer - Version 3.2.10.0 log created on 08272010_203633 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
28.08.2010, 18:27
| #8 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hi, das macht alles keinen Sinn.... Hmm, Du hast einen Rootkit von der lieben Firma Sony auf dem Rechner, (Legacy_$SYS$ARIES), der kann in manchen Situationen solche Probleme verursachen (soll eigentlich über das DRM "wachen" ;o)... Es besteht aber auch das Problem, dass das Rookit für andere Zwecke entfremdet wird und zu Problemen führen kann... -> Sony XPC/DRM Rootkit - Entfernung Die Treiber sind von OTL nicht entfernt worden, von daher sollte von dieser Seite nichts passiert sein... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
28.08.2010, 18:33
| #9 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Sehr seltsam. Das Sony-Rootkit hatte ich vor, hm, ca. 2 Jahren mal auf dem Rechner. Hatte es damals mit den dafür vorgesehen Tools auch entfernt bekommen. Verstehe nicht, wie es jetzt erneut auftauchen und für Probleme sorgen kann. Eine Sony-CD kam mir in der letzten Zeit nicht in den PC. |
|
28.08.2010, 18:36
| #10 |
| /// Malwareteam   | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Sorry Chris wenn ich hier poste aber: Hilfe in mehreren Foren gleichzeitig suchen? Es gibt immer wieder Fälle, wo wir darauf stoßen, dass User in mehreren Foren gleichzeitig nach Hilfe suchen. Es ist verständlich, dass Du Dein Problem so schnell wie möglich aus der Welt schaffen möchtest, dennoch ist es kontraproduktiv gleich mehrere Foren mit Deinem Problem zu beschäftigen.
|
|
28.08.2010, 18:43
| #11 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hi, die Einträge in der Reg sind noch da... Hast Du versucht AdvancedSystemCare durchzuführen? Wenn der Rechner runterfährt, was für eine Meldung bringt er dann (mit Bluescreen? Dann bitte den angegebenen Treiber notieren)... Suchen wir mal in der Ereignisanzeige: Start > ausführen > eventvwr.msc Gehe in die Ereignisanzeige (System) und schau dort nach Fehlermeldungen Falls eine Fehlermeldung da ist: Doppelklick darauf, ein neues Fenster wird geöffnet markieren und posten den Inhalt... Vielleicht kommen wir so drauf, wer da den Rechner runterfährt... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
28.08.2010, 21:52
| #12 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hi Chris ! Sony-Rootkit lässt sich wohl ausschließen. Bin nach deinem Anleitungslink vorgegangen. Nichts wurde gefunden. Folgende Fehlermeldung findet sich sehr häufig : Ereignistyp: Fehler Ereignisquelle: DCOM Ereigniskategorie: Keine Ereigniskennung: 10016 Datum: 27.08.2010 Zeit: 20:46:34 Benutzer: NT-AUTORITÄT\SYSTEM Computer: COMPUTERNAME Beschreibung: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Desweiteren findet sich auch diese Fehlermeldung : Ereignistyp: Fehler Ereignisquelle: System Error Ereigniskategorie: (102) Ereigniskennung: 1003 Datum: 28.08.2010 Zeit: 22:37:30 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Fehlercode 10000050, 1. Parameter ffffffb8, 2. Parameter 00000000, 3. Parameter 80544a1d, 4. Parameter 00000000. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Daten: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 31 30 30 30 30 30 35 1000005 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 62 38 2c 20 ffffb8, 0038: 30 30 30 30 30 30 30 30 00000000 0040: 2c 20 38 30 35 34 34 61 , 80544a 0048: 31 64 2c 20 30 30 30 30 1d, 0000 0050: 30 30 30 30 0000 Darüber hinaus folgende Warnmeldungen : Ereignistyp: Warnung Ereignisquelle: Serial Ereigniskategorie: Keine Ereigniskennung: 4 Datum: 28.08.2010 Zeit: 22:34:00 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Die symbolische Verknüpfung für \Device\Serial0 konnte nicht erstellt werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Daten: 0000: 00 00 00 00 02 00 4e 00 ......N. 0008: 00 00 00 00 04 00 06 80 .......€ 0010: 34 00 00 00 35 00 00 c0 4...5..À 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ Ereignistyp: Warnung Ereignisquelle: avgntflt Ereigniskategorie: Keine Ereigniskennung: 18 Datum: 24.08.2010 Zeit: 11:05:34 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: TIMEOUT<svchost.exe> Daten: 0000: 00 00 00 00 02 00 5a 00 ......Z. 0008: 00 00 00 00 12 00 07 80 .......€ 0010: 00 00 00 00 00 00 00 00 ........ 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ AdvancedSystemCare hab' ich mich noch nicht getraut. Kann kein Backup machen. Der PC hat keinen DVD-Brenner und die externe Festplatte möchte ich aus Angst vor einerInfizierung ungerne anschließen. |
|
31.08.2010, 16:30
| #13 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Eine zweite, aktualisierte Liste mit Logfiles ( alle im Normalmodus erstellt) : HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:35:44, on 30.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal[/B] Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp2.9_Deutsch\Winampa.exe C:\Programme\Labtec\Desktop\V5.1\moffice.exe C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe C:\Programme\Labtec\Desktop\V5.1\MOUSE32A.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\Dokumente und Einstellungen\MEIN_NAME\Eigene Dateien\Weissnix.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sport1.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9_Deutsch\Winampa.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O23 - Service: AFTUWVP - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\AFTUWVP.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 7104 bytes OTL Logfile: Code:
ATTFilter OTL logfile created on: 30.08.2010 18:43:11 - Run 2 OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,00 Mb Total Physical Memory | 207,00 Mb Available Physical Memory | 41,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 79,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 76,32 Gb Total Space | 0,68 Gb Free Space | 0,89% Space Free | Partition Type: NTFS Drive D: | 14,32 Gb Total Space | 0,86 Gb Free Space | 6,01% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: COMPUTERNAME Current User Name: MEIN_NAME Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Standard[/B] ========== Processes (SafeList) ========== PRC - [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\OTL.exe PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2009.08.05 20:56:10 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe PRC - [2006.12.25 00:41:27 | 000,958,464 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\MOffice.exe PRC - [2006.12.25 00:41:27 | 000,387,584 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE PRC - [2006.12.25 00:41:27 | 000,356,352 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\mouse32a.exe PRC - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) -- C:\Programme\Ahead\InCD\InCDsrv.exe PRC - [2004.09.13 11:51:05 | 001,450,096 | ---- | M] (Ahead Software AG) -- C:\Programme\Ahead\InCD\InCD.exe PRC - [2004.02.13 09:37:00 | 000,094,208 | ---- | M] (Jetsoft Development Company) -- C:\Programme\Lexmark 2200 Series\lxbvbmon.exe PRC - [2004.02.13 09:15:00 | 000,057,344 | ---- | M] (Lexmark International, Inc.) -- C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe PRC - [2003.04.17 08:54:16 | 000,012,288 | ---- | M] () -- C:\Programme\Winamp2.9_Deutsch\winampa.exe ========== Modules (SafeList) ========== MOD - [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\OTL.exe MOD - [2008.04.14 08:51:08 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx MOD - [2006.12.25 00:41:27 | 000,057,344 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\mouDL32A.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - [2010.08.30 17:48:56 | 000,592,768 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Dokumente und Einstellungen\ MEIN_NAME \Lokale Einstellungen\temp\AFTUWVP.exe -- (AFTUWVP) SRV - [2009.08.05 20:56:10 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2006.12.14 16:00:00 | 000,544,768 | ---- | M] (Magix AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- (UPnPService) SRV - [2005.11.17 14:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance) SRV - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) [Auto | Stopped] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrvR) InCD Helper (read only) SRV - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) [Auto | Running] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrv) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\9.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\d194.sys -- (d194) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - [2010.08.30 18:24:43 | 000,054,624 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ed56.sys -- (ed56) DRV - [2010.05.17 19:04:08 | 000,223,440 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\truecrypt.sys -- (truecrypt) DRV - [2010.03.18 11:17:09 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.06.30 09:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\pavboot.sys -- (pavboot) DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2007.01.31 15:33:46 | 000,005,632 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\avgarkt.sys -- (AVG Anti-Rootkit) DRV - [2007.01.21 17:42:52 | 000,009,472 | ---- | M] (Resplendence Software Projects Sp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rspsc.sys -- (RSPSC) DRV - [2007.01.18 14:00:28 | 000,003,968 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AvgArCln.sys -- (AvgArCln) DRV - [2005.12.01 11:49:22 | 000,023,600 | ---- | M] (Licensed for Gebhard Software) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\drhard.sys -- (drhard) DRV - [2005.03.01 06:01:40 | 000,392,704 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (senfilt) DRV - [2005.02.18 03:49:44 | 000,124,160 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys -- (SiSGbeXP) DRV - [2005.01.03 20:40:29 | 000,003,712 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\socketlock.sys -- (SocketLock) DRV - [2004.09.13 12:54:46 | 000,028,672 | ---- | M] (Ahead Software AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDpass.sys -- (InCDPass) DRV - [2004.09.13 12:54:06 | 000,093,440 | ---- | M] (Ahead Software AG) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\InCDfs.sys -- (InCDfs) DRV - [2004.09.13 11:54:54 | 000,027,648 | ---- | M] (Ahead Software AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\InCDrm.sys -- (incdrm) DRV - [2004.02.27 06:34:56 | 001,619,403 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2003.07.18 03:58:20 | 000,036,992 | R--- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SISAGPX.sys -- (SISAGP) DRV - [2002.08.20 11:19:08 | 000,009,472 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sisperf.sys -- (sisperf) DRV - [2002.07.30 10:46:28 | 000,005,760 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\siside.sys -- (SiSide) DRV - [2002.07.10 17:39:34 | 000,032,256 | R--- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC) DRV - [2002.05.28 10:21:10 | 000,048,896 | R--- | M] (Windows (R) 2000 DDK provider) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\sisidex.sys -- (sisidex) DRV - [2001.08.17 14:57:38 | 000,016,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\modemcsa.sys -- (MODEMCSA) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sport1.de/ IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.29 23:39:58 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.28 22:37:55 | 000,000,000 | ---D | M] [2008.12.16 14:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Extensions [2010.08.30 11:05:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions [2010.06.09 17:04:47 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} [2010.08.30 11:05:32 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.04.16 16:13:51 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.14 23:12:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll O1 HOSTS File: ([2010.08.24 16:55:47 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\MOffice.exe () O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Ahead Software AG) O4 - HKLM..\Run: [Lexmark 2200 Series] C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe (Lexmark International, Inc.) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation) O4 - HKLM..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE () O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe (Silicon Integrated Systems Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp2.9_Deutsch\Winampa.exe () O4 - HKCU..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\nbj.exe (Ahead Software AG) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\ MEIN_NAME \Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (VisualWare) O9 - Extra 'Tools' menuitem : VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (VisualWare) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ MEIN_NAME \Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ MEIN_NAME \Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.12.24 12:16:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2004.03.28 13:41:20 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.30 17:59:12 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ MEIN_NAME \Recent [2010.08.26 20:34:21 | 000,000,000 | ---D | C] -- C:\_OTL [2010.08.26 19:31:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ MEIN_NAME \Eigene Dateien\NeroVision [2010.08.26 15:34:36 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\OTL.exe [2010.08.24 21:22:15 | 000,000,000 | ---D | C] -- C:\Avenger [2010.08.24 19:21:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2010.08.24 17:12:13 | 000,007,680 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\RKL7.tmp.sys [2010.08.24 13:09:53 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2010.08.24 13:09:53 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2010.08.24 13:09:53 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2010.08.24 13:09:53 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2010.08.24 13:09:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.08.24 13:09:08 | 000,000,000 | ---D | C] -- C:\Qoobox [2010.08.24 12:44:18 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2010.08.24 11:24:04 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\HJTInstall.exe [2010.08.24 11:11:24 | 002,661,704 | ---- | C] (Norman ASA) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\Norman_TDSS_Cleaner.exe [2010.08.22 18:45:10 | 000,028,552 | ---- | C] (Panda Security, S.L.) -- C:\WINDOWS\System32\drivers\pavboot.sys [2010.08.22 18:43:50 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security [2010.08.22 17:03:26 | 000,019,248 | ---- | C] (Resplendence Software Projects Sp.) -- C:\WINDOWS\System32\drivers\rspsc32.sys [2010.08.22 17:03:25 | 000,000,000 | ---D | C] -- C:\Programme\RootKit Hook Analyzer [2010.08.14 23:12:13 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.08.14 23:12:13 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.08.14 23:12:13 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2007.05.23 21:09:44 | 011,322,768 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RealPlayer10GOLD_de.exe ========== Files - Modified Within 30 Days ========== [2010.08.30 18:36:16 | 000,050,464 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Anwendungsdaten\wklnhst.dat [2010.08.30 18:36:15 | 000,032,768 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Eigene Dateien\2.Check.doc [2010.08.30 18:33:29 | 000,000,888 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.08.30 18:33:07 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.30 18:33:05 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.30 18:33:04 | 536,203,264 | -HS- | M] () -- C:\hiberfil.sys [2010.08.30 18:26:02 | 000,000,892 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.08.30 18:24:43 | 000,054,624 | ---- | M] () -- C:\WINDOWS\System32\ed56.sys [2010.08.30 18:24:22 | 002,335,270 | ---- | M] () -- C:\WINDOWS\System32\1715.mht [2010.08.30 18:19:40 | 002,335,270 | ---- | M] () -- C:\WINDOWS\System32\2eaD.mht [2010.08.30 17:58:55 | 000,000,661 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\CCleaner.lnk [2010.08.30 17:50:31 | 018,939,904 | ---- | M] () -- C:\WINDOWS\System32\TUVKL [2010.08.30 17:40:24 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\Microsoft Word.lnk [2010.08.30 15:12:30 | 000,000,147 | ---- | M] () -- C:\WINDOWS\winamp.ini [2010.08.30 09:36:09 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.29 00:43:44 | 019,136,512 | -H-- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \NTUSER.DAT [2010.08.29 00:43:44 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \ntuser.ini [2010.08.28 22:37:58 | 000,001,716 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.08.26 17:38:29 | 002,866,688 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Eigene Dateien\Tracklist.doc [2010.08.26 15:36:57 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\MBRCheck.exe [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\OTL.exe [2010.08.24 21:08:07 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\avenger.exe [2010.08.24 21:05:41 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\mbr.exe [2010.08.24 17:12:13 | 000,007,680 | ---- | M] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\RKL7.tmp.sys [2010.08.24 16:57:27 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.08.24 16:55:47 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.08.24 11:41:53 | 000,231,390 | ---- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\RootkitRevealer.zip [2010.08.24 11:38:58 | 003,826,032 | R--- | M] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\ComboFix.exe [2010.08.24 11:24:09 | 000,812,344 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\HJTInstall.exe [2010.08.24 11:11:51 | 002,661,704 | ---- | M] (Norman ASA) -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\Norman_TDSS_Cleaner.exe [2010.08.23 18:36:41 | 000,000,815 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AVG Anti-Rootkit Free.lnk [2010.08.14 21:20:12 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini ========== Files Created - No Company Name ========== [2010.08.30 18:24:43 | 000,054,624 | ---- | C] () -- C:\WINDOWS\System32\ed56.sys [2010.08.30 18:24:22 | 002,335,270 | ---- | C] () -- C:\WINDOWS\System32\1715.mht [2010.08.30 18:19:40 | 002,335,270 | ---- | C] () -- C:\WINDOWS\System32\2eaD.mht [2010.08.30 17:49:15 | 018,939,904 | ---- | C] () -- C:\WINDOWS\System32\TUVKL [2010.08.30 17:41:11 | 000,032,768 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Eigene Dateien\2.Check.doc [2010.08.26 17:38:20 | 002,866,688 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Eigene Dateien\Tracklist.doc [2010.08.26 15:36:56 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\MBRCheck.exe [2010.08.24 21:08:07 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\avenger.exe [2010.08.24 21:05:41 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\mbr.exe [2010.08.24 14:53:09 | 536,203,264 | -HS- | C] () -- C:\hiberfil.sys [2010.08.24 13:09:53 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010.08.24 13:09:53 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010.08.24 13:09:53 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010.08.24 13:09:53 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010.08.24 13:09:53 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010.08.24 11:41:45 | 000,231,390 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\RootkitRevealer.zip [2010.08.24 11:38:56 | 003,826,032 | R--- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\ComboFix.exe [2010.05.17 19:33:06 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010.05.17 19:21:13 | 000,419,280 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.03.29 22:37:18 | 000,000,394 | ---- | C] () -- C:\WINDOWS\lexstat.ini [2010.03.29 22:36:50 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbvvs.dll [2010.03.29 22:36:20 | 000,000,187 | ---- | C] () -- C:\WINDOWS\System32\lxbvcoin.ini [2007.12.05 21:33:04 | 000,000,250 | ---- | C] () -- C:\WINDOWS\gmer.ini [2007.12.05 21:33:03 | 000,585,791 | ---- | C] () -- C:\WINDOWS\gmer.dll [2007.07.17 10:03:41 | 001,057,656 | ---- | C] () -- C:\Programme\dBpoweramp-Codec-m4a.exe [2007.07.17 09:59:52 | 004,215,160 | ---- | C] () -- C:\Programme\dMC-r12[1].2.exe [2007.06.17 01:09:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Anwendungsdaten\AVSDVDPlayer.m3u [2007.06.17 00:41:29 | 000,006,642 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2007.06.16 23:43:15 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2007.06.16 23:43:15 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2007.05.23 21:23:55 | 000,050,464 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Anwendungsdaten\wklnhst.dat [2007.05.01 15:23:39 | 000,003,051 | ---- | C] () -- C:\WINDOWS\tm.ini [2007.04.23 02:15:29 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2007.03.03 14:32:04 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.02.24 22:05:42 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI [2007.01.11 14:45:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PhotoNow.INI [2007.01.09 19:56:42 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\270A9C62DD.sys [2007.01.09 19:56:07 | 000,004,704 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2006.10.30 15:01:04 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2006.04.28 08:54:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2005.12.16 15:30:24 | 000,002,733 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2005.08.03 14:30:19 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2005.06.19 18:59:33 | 000,052,736 | ---- | C] () -- C:\Dokumente und Einstellungen\ MEIN_NAME \Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2005.03.19 16:38:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Ui.INI [2005.03.08 11:52:18 | 000,000,089 | ---- | C] () -- C:\WINDOWS\snapshot.ini [2005.03.07 11:38:09 | 000,000,782 | ---- | C] () -- C:\WINDOWS\dwk3.ini [2005.03.07 11:17:44 | 000,000,051 | ---- | C] () -- C:\WINDOWS\pgmagic2.ini [2005.03.07 11:16:49 | 000,000,412 | ---- | C] () -- C:\WINDOWS\gstutils.ini [2005.03.07 11:16:49 | 000,000,389 | ---- | C] () -- C:\WINDOWS\gstbrows.ini [2005.03.07 11:16:34 | 000,007,711 | ---- | C] () -- C:\WINDOWS\coldraw.ini [2005.03.07 11:16:33 | 000,029,536 | ---- | C] () -- C:\WINDOWS\dib.drv [2005.03.07 11:16:33 | 000,011,424 | ---- | C] () -- C:\WINDOWS\dwk2comp.dll [2005.03.07 11:16:33 | 000,004,772 | ---- | C] () -- C:\WINDOWS\gstfonts.ini [2005.03.07 11:16:33 | 000,003,612 | ---- | C] () -- C:\WINDOWS\fntalias.ini [2005.03.07 11:12:00 | 000,000,046 | RH-- | C] () -- C:\WINDOWS\PAWSETUP.INI [2005.03.07 11:11:55 | 000,000,473 | ---- | C] () -- C:\WINDOWS\PAW.INI [2005.02.20 21:10:00 | 000,028,672 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [2005.02.20 21:09:41 | 000,132,864 | R--- | C] () -- C:\WINDOWS\Cmuda.ini [2005.01.05 19:41:01 | 000,004,103 | ---- | C] () -- C:\WINDOWS\DBCDLFMT.INI [2005.01.05 19:40:00 | 000,004,139 | ---- | C] () -- C:\WINDOWS\DBROUTE.INI [2005.01.03 20:40:29 | 000,003,712 | ---- | C] () -- C:\WINDOWS\System32\socketlock.sys [2005.01.03 20:19:02 | 001,799,685 | ---- | C] () -- C:\Programme\QuickVCD.exe [2005.01.03 20:11:53 | 000,000,147 | ---- | C] () -- C:\WINDOWS\winamp.ini [2005.01.02 20:05:03 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\12kUBusd.dll [2004.12.24 12:42:33 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2004.12.24 12:31:08 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI [2004.12.24 12:31:08 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI [2004.12.24 12:31:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini [2004.12.24 12:31:05 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll [2004.12.24 12:29:35 | 000,139,264 | R--- | C] () -- C:\WINDOWS\System32\IDEproperty.dll [2004.12.24 12:28:08 | 000,032,768 | ---- | C] () -- C:\WINDOWS\SIS_LIB.DLL [2004.12.24 12:28:07 | 000,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys [2004.09.28 23:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2002.03.21 16:39:02 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL [2002.03.21 14:51:52 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll [2002.03.21 14:51:52 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll [2002.03.21 14:51:52 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll [2002.03.21 14:51:52 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll [2002.03.21 14:51:52 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll [2002.03.21 14:51:52 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll [2002.03.21 14:51:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll [2002.03.20 23:01:06 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll [2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\MFCUIA32.DLL: SummaryInformation < End of report > Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000003d Kernel Drivers (total 138): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D0000 \WINDOWS\system32\hal.dll 0xF8B25000 \WINDOWS\system32\KDCOM.DLL 0xF8A35000 \WINDOWS\system32\BOOTVID.dll 0xF84F5000 ACPI.sys 0xF8B27000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF84E4000 pci.sys 0xF8625000 isapnp.sys 0xF8B29000 avgarkt.sys 0xF8BED000 pciide.sys 0xF88A5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8635000 MountMgr.sys 0xF84C5000 ftdisk.sys 0xF8B2B000 dmload.sys 0xF849F000 dmio.sys 0xF88AD000 PartMgr.sys 0xF8B2D000 siside.sys 0xF88B5000 pavboot.sys 0xF8645000 VolSnap.sys 0xF8487000 atapi.sys 0xF8655000 disk.sys 0xF8665000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF8467000 fltmgr.sys 0xF8455000 sr.sys 0xF8675000 PxHelp20.sys 0xF843E000 KSecDD.sys 0xF83B1000 Ntfs.sys 0xF8384000 NDIS.sys 0xF8A39000 sisperf.sys 0xF8685000 uagp35.sys 0xF8695000 sisidex.sys 0xF86A5000 SISAGPX.sys 0xF836A000 Mup.sys 0xF86B5000 gagp30kx.sys 0xF8C00000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7DDE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF8B05000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7DC7000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF86F5000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF8705000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF89A5000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7DB6000 \SystemRoot\system32\DRIVERS\psched.sys 0xF8715000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF89AD000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF89B5000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF8725000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF8735000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7D93000 \SystemRoot\system32\DRIVERS\ks.sys 0xF89BD000 \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys 0xF89C5000 \SystemRoot\System32\DRIVERS\InCDPass.sys 0xF89CD000 \SystemRoot\System32\Drivers\incdrm.SYS 0xF8745000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7D5D000 \SystemRoot\system32\drivers\smwdm.sys 0xF7D39000 \SystemRoot\system32\drivers\portcls.sys 0xF8755000 \SystemRoot\system32\drivers\drmk.sys 0xF7D19000 \SystemRoot\system32\drivers\aeaudio.sys 0xF7CB9000 \SystemRoot\system32\drivers\senfilt.sys 0xF89D5000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF7C95000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF89DD000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7C76000 \SystemRoot\system32\DRIVERS\SiSGbeXP.sys 0xF7AFF000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF7AEB000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7AB5000 \SystemRoot\system32\DRIVERS\HSFBS2S2.sys 0xF79B6000 \SystemRoot\system32\DRIVERS\HSFDPSP2.sys 0xF790E000 \SystemRoot\system32\DRIVERS\HSFCXTS2.sys 0xF89E5000 \SystemRoot\System32\Drivers\Modem.SYS 0xF78DE000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF8765000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF89ED000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF89F5000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8B61000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7858000 \SystemRoot\system32\DRIVERS\update.sys 0xF833A000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF8775000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7844000 \SystemRoot\system32\DRIVERS\parport.sys 0xF8785000 \SystemRoot\system32\DRIVERS\serial.sys 0xF8336000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF89FD000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF8795000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF87A5000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8B65000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF8A0D000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF8B6F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8C2F000 \SystemRoot\System32\Drivers\Null.SYS 0xF8B71000 \SystemRoot\System32\Drivers\Beep.SYS 0xF8C30000 \SystemRoot\System32\DRIVERS\AvgArCln.sys 0xF8A1D000 \SystemRoot\System32\drivers\vga.sys 0xF8B73000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8B75000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF8B77000 \SystemRoot\System32\Drivers\InCDrec.SYS 0xF661B000 \SystemRoot\System32\Drivers\InCDfs.SYS 0xF8A25000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF8A2D000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF8AD9000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF6608000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF65AF000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF6587000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF8AE1000 \SystemRoot\System32\drivers\ws2ifsl.sys 0xF6565000 \SystemRoot\System32\drivers\afd.sys 0xF87D5000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF6530000 \SystemRoot\System32\drivers\truecrypt.sys 0xF6505000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF646D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF8805000 \SystemRoot\System32\Drivers\Fips.SYS 0xF6447000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF8815000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF642B000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8B7B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF88E5000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xF78D6000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xF88ED000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xF78D2000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF8825000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF88F5000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF8875000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF634B000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8BC7000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF8AD5000 \SystemRoot\System32\drivers\Dxapi.sys 0xF891D000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8C8D000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xF519E000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF8D41000 \??\C:\WINDOWS\system32\socketlock.sys 0xF516A000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xF4651000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF8B45000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xF4625000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys 0xF4537000 \SystemRoot\system32\DRIVERS\srv.sys 0xF421B000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF39DE000 \SystemRoot\system32\drivers\wdmaud.sys 0xF87F5000 \SystemRoot\system32\drivers\sysaudio.sys 0xF35B0000 \SystemRoot\System32\Drivers\HTTP.sys 0xF8915000 \??\C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\mbr.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 592 C:\WINDOWS\system32\smss.exe 644 csrss.exe 668 C:\WINDOWS\system32\winlogon.exe 712 C:\WINDOWS\system32\services.exe 732 C:\WINDOWS\system32\lsass.exe 892 C:\WINDOWS\system32\svchost.exe 952 svchost.exe 992 C:\WINDOWS\system32\svchost.exe 1016 C:\Programme\Ahead\InCD\InCDsrv.exe 1180 svchost.exe 1252 svchost.exe 1336 C:\WINDOWS\system32\LEXBCES.EXE 1360 C:\WINDOWS\system32\spoolsv.exe 1380 C:\WINDOWS\system32\LEXPPS.EXE 1480 C:\Programme\Avira\AntiVir Desktop\sched.exe 1560 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1640 C:\Programme\Java\jre6\bin\jqs.exe 1692 C:\WINDOWS\system32\nvsvc32.exe 1768 C:\WINDOWS\system32\svchost.exe 608 alg.exe 1876 C:\WINDOWS\explorer.exe 2316 C:\WINDOWS\system32\rundll32.exe 2332 C:\Programme\Winamp2.9_Deutsch\winampa.exe 2380 C:\Programme\Labtec\Desktop\V5.1\MOffice.exe 2432 C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE 2448 C:\Programme\Labtec\Desktop\V5.1\mouse32a.exe 2496 C:\Programme\Ahead\InCD\InCD.exe 2508 C:\Programme\QuickTime\qttask.exe 2568 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2584 C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe 2628 C:\Programme\Lexmark 2200 Series\lxbvbmon.exe 2672 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 2876 C:\Programme\OpenOffice.org 2.2\program\soffice.exe 2888 C:\Programme\OpenOffice.org 2.2\program\soffice.bin 3724 C:\Dokumente und Einstellungen\ MEIN_NAME \Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: Maxtor6Y080L0, Rev: YAR41BW0 PhysicalDrive1 Model Number: WDCWD153AA-00BAA0, Rev: 10.09K11 Size Device Name MBR Status -------------------------------------------- 76 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 14 GB \\.\PhysicalDrive1 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! Norman TDSS Cleaner Version 1.9.3 Copyright © 1990 - 2010, Norman ASA. Built 2010/05/25 11:56:03 Norman Scanner Engine Version: 6.04.08 Nvcbin.def Version: 6.04.00, Date: 2010/05/25 11:56:03, Variants: 57644 Scan started: 2010/08/30 20:54:56 Running pre-scan cleanup routine: Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3 Logged on user: COMPUTERNAME\ MEIN_NAME Running anti-TDSS module: No TDSS infection detected TDSS scan complete. Will now scan for related malware Scanning bootsectors... Number of sectors found: 2 Number of sectors scanned: 2 Number of sectors not scanned: 0 Number of infections found: 0 Number of infections removed: 0 Total scanning time: 0s 30ms Scanning running processes and process memory... Number of processes/threads found: 2977 Number of processes/threads scanned: 2977 Number of processes/threads not scanned: 0 Number of infected processes/threads terminated: 0 Total scanning time: 33s Scanning file system... Scanning: prescan Scanning: C:\WINDOWS\system32\drivers\* Scanning: C:\*.* Scanning: D:\*.* D:\Other\2U-AB-1991.rar/CMT (Error whilst scanning file: I/O Error (0x00220000)) D:\Other\2U-Z-1993.rar/CMT (Error whilst scanning file: I/O Error (0x00220000)) D:\The Clash\The_Clash_-_1979-09-21_-_New_York__NY.rar/CMT (Error whilst scanning file: I/O Error (0x00220000)) D:\U2\2009-07-18_-_Berlin__Germany__wb_-part01.rar/CMT (Error whilst scanning file: I/O Error (0x00220000)) D:\U2\2009-07-18_-_Berlin__Germany__wb_.rar/CMT (Error whilst scanning file: I/O Error (0x00220000)) Scanning: postscan Running post-scan cleanup routine: Number of files found: 228646 Number of archives unpacked: 1406 Number of files scanned: 228623 Number of files not scanned: 23 Number of files skipped due to exclude list: 0 Number of infected files found: 0 Number of infected files repaired/deleted: 0 Number of infections removed: 0 Total scanning time: 1h 40m 55s ComboFix 10-08-23.02 - MEIN_NAME 30.08.2010 22:48:51.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.116 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\ MEIN_NAME \Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FW: F-Secure Anti-Virus Client Security 5.55 *disabled* {D4747503-0346-49EB-9262-997542F79BF4} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . - REDUZIERTER FUNKTIONALITÄTSMODUS - . ((((((((((((((((((((((( Dateien erstellt von 2010-07-28 bis 2010-08-30 )))))))))))))))))))))))))))))) . 2010-08-30 16:24 . 2010-08-30 16:24 54624 ----a-w- c:\windows\system32\ed56.sys 2010-08-26 18:34 . 2010-08-26 18:34 -------- d-----w- C:\_OTL 2010-08-24 15:12 . 2010-08-24 15:12 7680 ----a-w- c:\windows\system32\drivers\RKL7.tmp.sys 2010-08-22 16:45 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys 2010-08-22 16:43 . 2010-08-22 16:43 -------- d-----w- c:\programme\Panda Security 2010-08-22 15:03 . 2007-07-06 22:39 19248 ----a-w- c:\windows\system32\drivers\rspsc32.sys 2010-08-22 15:03 . 2010-08-30 16:01 -------- d-----w- c:\programme\RootKit Hook Analyzer 2010-08-14 21:13 . 2010-08-14 21:13 503808 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcp71.dll 2010-08-14 21:13 . 2010-08-14 21:13 12800 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-d3d.dll 2010-08-14 21:13 . 2010-08-14 21:13 61440 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-sse.dll 2010-08-14 21:13 . 2010-08-14 21:13 499712 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\jmc.dll 2010-08-14 21:13 . 2010-08-14 21:13 348160 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcr71.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-30 20:46 . 2007-05-23 19:23 50464 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\wklnhst.dat 2010-08-30 16:34 . 2008-06-26 14:44 -------- d-----w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\OpenOffice.org2 2010-08-30 15:58 . 2007-06-03 17:21 -------- d-----w- c:\programme\CCleaner 2010-08-30 13:12 . 2010-05-17 18:00 -------- d-----w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\vlc 2010-08-28 22:19 . 2010-03-28 16:52 -------- d-----w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\foobar2000 2010-08-23 13:01 . 2006-04-21 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-08-14 21:13 . 2007-12-06 07:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-08-14 21:12 . 2007-12-06 08:25 -------- d-----w- c:\programme\Java 2010-07-22 13:28 . 2006-12-08 19:49 -------- d-----w- c:\programme\Google 2010-07-17 03:00 . 2010-04-16 14:13 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-06-09 15:04 . 2010-06-09 15:04 52224 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll 2010-06-09 15:04 . 2010-06-09 15:04 101376 ----a-w- c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll 2007-07-17 08:03 . 2007-07-17 08:03 1057656 ----a-w- c:\programme\dBpoweramp-Codec-m4a.exe 2007-07-17 07:59 . 2007-07-17 07:59 4215160 ----a-w- c:\programme\dMC-r12[1].2.exe 2004-08-17 16:16 . 2007-05-23 19:09 11322768 ------w- c:\programme\RealPlayer10GOLD_de.exe 2002-09-29 12:53 . 2005-01-03 18:19 1799685 ------w- c:\programme\QuickVCD.exe 2007-01-09 17:56 . 2007-01-09 17:56 8 --sh--r- c:\windows\system32\270A9C62DD.sys 2007-01-09 17:56 . 2007-01-09 17:56 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] 2010-07-16 17:40 2736736 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBJ"="c:\programme\Ahead\Nero BackItUp\nbj.exe" [2004-09-24 1916928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-02-27 3022848] "nwiz"="nwiz.exe" [2004-10-29 921600] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-02-27 49152] "WinampAgent"="c:\programme\Winamp2.9_Deutsch\Winampa.exe" [2003-04-17 12288] "FLMOFFICE4DMOUSE"="c:\programme\Labtec\Desktop\V5.1\moffice.exe" [2006-12-24 958464] "OFFICEKB"="c:\programme\Labtec\Desktop\V5.1\kbdap32a.exe" [2006-12-24 387584] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "InCD"="c:\programme\Ahead\InCD\InCD.exe" [2004-09-13 1450096] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-08-03 98304] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Lexmark 2200 Series"="c:\programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] c:\dokumente und einstellungen\ MEIN_NAME \Startmen\Programme\Autostart\ OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Soulseek\\slsk.exe"= "c:\\WINDOWS\\system32\\java.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SoulseekNS\\slsk.exe"= "c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.08.2010 18:45 28552] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.07.2009 13:35 108289] R2 SocketLock;Raw Socket Lock Driver;c:\windows\system32\socketlock.sys [03.01.2005 20:40 3712] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [22.07.2010 15:20 136176] S3 AFTUWVP;AFTUWVP;c:\dokume~1\ MEIN_NAME ~1\LOKALE~1\Temp\AFTUWVP.exe --> c:\dokume~1\ MEIN_NAME ~1\LOKALE~1\Temp\AFTUWVP.exe [?] S3 d194;d194;\??\c:\windows\system32\d194.sys --> c:\windows\system32\d194.sys [?] S3 drhard;DRHARD;c:\windows\system32\drivers\drhard.sys [17.05.2010 19:37 23600] S3 ed56;ed56;c:\windows\system32\ed56.sys [30.08.2010 18:24 54624] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.06.2007 00:44 1527900] S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\9.tmp --> c:\windows\system32\9.tmp [?] S3 RSPSC;RSPSC;c:\windows\system32\drivers\rspsc.sys [26.05.2007 00:21 9472] S3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [02.01.2005 20:05 15104] S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [17.06.2007 00:43 544768] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - NDISKIO *NewlyCreated* - NSAK *Deregistered* - NDISKIO *Deregistered* - nsak . Inhalt des "geplante Tasks" Ordners 2010-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20] 2010-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.sport1.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\ FF - component: c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\ MEIN_NAME \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-08-30 22:51 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2] "ImagePath"="\??\c:\windows\system32\9.tmp" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\303\Shel-**] "Rev"=dword:00000000 "ColI+fo"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,ff,df,df,fd,0f, 00,04,00,21,00,10,00,28,00,3c,00,00,00,00,00,01,00,00,00,03,00,00,00,03,00,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3652) c:\programme\Labtec\Desktop\V5.1\MOUDL32A.DLL . Zeit der Fertigstellung: 2010-08-30 22:56:48 ComboFix-quarantined-files.txt 2010-08-30 20:56 ComboFix2.txt 2010-08-24 15:06 Vor Suchlauf: 710.475.776 Bytes frei Nach Suchlauf: 737.607.680 Bytes frei - - End Of File - - EEB00FE4FD0EFAB6ABC45815B968B734 Hier eine Liste von Ereignissen rund um das Herunterfahren des PCs : Ereignistyp: Fehler Ereignisquelle: System Error Ereigniskategorie: (102) Ereigniskennung: 1003 Datum: 30.08.2010 Zeit: 23:06:45 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Fehlercode 10000050, 1. Parameter ffffffb8, 2. Parameter 00000000, 3. Parameter 80544a1d, 4. Parameter 00000000. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Daten: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 31 30 30 30 30 30 35 1000005 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 62 38 2c 20 ffffb8, 0038: 30 30 30 30 30 30 30 30 00000000 0040: 2c 20 38 30 35 34 34 61 , 80544a 0048: 31 64 2c 20 30 30 30 30 1d, 0000 0050: 30 30 30 30 0000 Ereignistyp: Informationen Ereignisquelle: EventLog Ereigniskategorie: Keine Ereigniskennung: 6005 Datum: 30.08.2010 Zeit: 23:05:02 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Der Ereignisprotokolldienst wurde gestartet. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Warnung Ereignisquelle: Serial Ereigniskategorie: Keine Ereigniskennung: 4 Datum: 30.08.2010 Zeit: 23:04:34 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Die symbolische Verknüpfung für \Device\Serial0 konnte nicht erstellt werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Daten: 0000: 00 00 00 00 02 00 4e 00 ......N. 0008: 00 00 00 00 04 00 06 80 .......€ 0010: 34 00 00 00 35 00 00 c0 4...5..À 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ Ereignistyp: Informationen Ereignisquelle: avgntflt Ereigniskategorie: Keine Ereigniskennung: 17 Datum: 30.08.2010 Zeit: 23:05:02 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: AVGNTFLT successfully loaded Daten: 0000: 00 00 00 00 02 00 5a 00 ......Z. 0008: 00 00 00 00 11 00 07 40 .......@ 0010: 00 00 00 00 00 00 00 00 ........ 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ Ereignistyp: Informationen Ereignisquelle: Save Dump Ereigniskategorie: Keine Ereigniskennung: 1001 Datum: 30.08.2010 Zeit: 23:05:03 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x10000050 (0xffffffb8, 0x00000000, 0x80544a1d, 0x00000000). Ein volles Abbild wurde gespeichert in: C:\WINDOWS\Minidump\Mini083010-03.dmp. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: DCOM Ereigniskategorie: Keine Ereigniskennung: 10016 Datum: 30.08.2010 Zeit: 23:05:08 Benutzer: NT-AUTORITÄT\SYSTEM Computer: COMPUTERNAME Beschreibung: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: DCOM Ereigniskategorie: Keine Ereigniskennung: 10016 Datum: 30.08.2010 Zeit: 23:05:08 Benutzer: NT-AUTORITÄT\SYSTEM Computer: COMPUTERNAME Beschreibung: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: DCOM Ereigniskategorie: Keine Ereigniskennung: 10016 Datum: 30.08.2010 Zeit: 23:05:09 Benutzer: NT-AUTORITÄT\SYSTEM Computer: COMPUTERNAME Beschreibung: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: DCOM Ereigniskategorie: Keine Ereigniskennung: 10016 Datum: 30.08.2010 Zeit: 23:05:09 Benutzer: NT-AUTORITÄT\SYSTEM Computer: COMPUTERNAME Beschreibung: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Informationen Ereignisquelle: Service Control Manager Ereigniskategorie: Keine Ereigniskennung: 7035 Datum: 30.08.2010 Zeit: 23:05:34 Benutzer: NT-AUTORITÄT\SYSTEM Computer: COMPUTERNAME Beschreibung: Der Steuerbefehl "beenden" wurde erfolgreich an den Dienst "Fax" gesendet. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Informationen Ereignisquelle: Service Control Manager Ereigniskategorie: Keine Ereigniskennung: 7036 Datum: 30.08.2010 Zeit: 23:05:43 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt". Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Informationen Ereignisquelle: Service Control Manager Ereigniskategorie: Keine Ereigniskennung: 7036 Datum: 30.08.2010 Zeit: 23:05:43 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt". Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: System Error Ereigniskategorie: (102) Ereigniskennung: 1003 Datum: 30.08.2010 Zeit: 23:06:45 Benutzer: Nicht zutreffend Computer: COMPUTERNAME Beschreibung: Fehlercode 10000050, 1. Parameter ffffffb8, 2. Parameter 00000000, 3. Parameter 80544a1d, 4. Parameter 00000000. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Daten: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 31 30 30 30 30 30 35 1000005 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 62 38 2c 20 ffffb8, 0038: 30 30 30 30 30 30 30 30 00000000 0040: 2c 20 38 30 35 34 34 61 , 80544a 0048: 31 64 2c 20 30 30 30 30 1d, 0000 0050: 30 30 30 30 0000 4 GMER-Scans in versciedenen Stadien : 1) Quick Scan 2) + 3) Deep Scan (zwischengespeichert) 3) Deep Scan (zwischengespeichert, kurz vorm Runterfahren des PCs) GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit quick scan 2010-08-30 22:59:58 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\pgldikoc.sys ---- System - GMER 1.0.15 ---- Code \??\C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys ---- EOF - GMER 1.0.15 ---- GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-30 23:01:25 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\pgldikoc.sys ---- System - GMER 1.0.15 ---- SSDT F8C61136 ZwCreateKey SSDT F8C6112C ZwCreateThread SSDT F8C6113B ZwDeleteKey SSDT F8C61145 ZwDeleteValueKey SSDT F8C6114A ZwLoadKey SSDT F8C61118 ZwOpenProcess SSDT F8C6111D ZwOpenThread SSDT F8C61154 ZwReplaceKey SSDT F8C6114F ZwRestoreKey SSDT F8C61140 ZwSetValueKey SSDT F8C61127 ZwTerminateProcess Code \??\C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7D11900] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7AFF340, 0x130AAF, 0xF8000020] .text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020] ? C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-30 23:01:36 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\pgldikoc.sys ---- System - GMER 1.0.15 ---- SSDT F8C61136 ZwCreateKey SSDT F8C6112C ZwCreateThread SSDT F8C6113B ZwDeleteKey SSDT F8C61145 ZwDeleteValueKey SSDT F8C6114A ZwLoadKey SSDT F8C61118 ZwOpenProcess SSDT F8C6111D ZwOpenThread SSDT F8C61154 ZwReplaceKey SSDT F8C6114F ZwRestoreKey SSDT F8C61140 ZwSetValueKey SSDT F8C61127 ZwTerminateProcess Code \??\C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7D11900] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7AFF340, 0x130AAF, 0xF8000020] .text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020] ? C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-30 23:03:05 Windows 5.1.2600 Service Pack 3 Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\pgldikoc.sys ---- System - GMER 1.0.15 ---- SSDT F8C61136 ZwCreateKey SSDT F8C6112C ZwCreateThread SSDT F8C6113B ZwDeleteKey SSDT F8C61145 ZwDeleteValueKey SSDT F8C6114A ZwLoadKey SSDT F8C61118 ZwOpenProcess SSDT F8C6111D ZwOpenThread SSDT F8C61154 ZwReplaceKey SSDT F8C6114F ZwRestoreKey SSDT F8C61140 ZwSetValueKey SSDT F8C61127 ZwTerminateProcess Code \??\C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7D11900] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7AFF340, 0x130AAF, 0xF8000020] .text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020] ? C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\ MEIN_NAME ~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) Device \Driver\Tcpip \Device\Ip socketlock.sys Device \Driver\Tcpip \Device\Tcp socketlock.sys Device \Driver\Tcpip \Device\Udp socketlock.sys Device \Driver\Tcpip \Device\RawIp socketlock.sys Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@BarID 59416 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@XPos -2 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@YPos -2 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@Docking 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockLeftPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockTopPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockRightPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockBottomPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatStyle 8192 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatXPos -2147483648 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatYPos 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\View@Show\20humbnain 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cdl\OpenWithList@a CDL.exe Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\Favoriten\Webguides ROOTKIT REVEALER : findet; PC fährt aber bei Fund runter. Kein Logfile. McAFEE ROOTKIT DETECTIVE : findet; es gibt aber kein Rankommen ans Logfile. An den vorgesehen Speicherort C:\DOKUME~1\MEIN_NAME~1\LOKALE~1\Temp\Rar$EX00.765\RootkitDetective komm ich nicht ran. PC fährt runter. Versuch ich den Speicherort zu ändern, fährt der PC runter. AVIRA ANTIVIR PERSONAL : findet im Normalmodus nichts. Beim Rootkitscan reagiert er dann wie die vorher genannten. AVIRA ANTI ROOTKIT TOOL 1.1.0.1 findet, reagiert aber wie die anderen auch. PC fährt runter und anschließend mit „schwerwiegender Fehler“- Meldung hoch. |
|
31.08.2010, 18:50
| #14 |
| | Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. Hi, nur noch eine kurze Hilfestellung: Boot-CD erstellen, von der Booten und die Platten scannen sowie prüfen lassen. Der Rootkit ist dann inaktiv ... Knoppix-Live-CD erstellen Folge den Anweisungen hier: http://www.trojaner-board.de/75619-a...x-live-cd.html Antivir, Rescue-CD http://www.avira.de/de/support/support_downloads.html[ Dort bitte das Rescue System sowie das update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... Wenn nichts mehr geht: Avira bietet Rettungs-CD zum Download an - PC-WELT Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web CureIt!) runter (jeweils die neuste Version, z. Z. ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.2.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web CureIt! G Data-Rettungs-CD, Größe ca. 110 MB: http://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=5101 Runterladen, Boot-CD erstellen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA).... chris Ps.: Ich bin bis Wochenende unterwegs und nicht erreichbar!
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich. |
| adobe, antivir, antivir guard, avg, avgnt, avira, bho, browser, components, computer, desktop, dringend, einstellungen, excel, fehler, firefox, google earth, helper, hkus\s-1-5-18, internet, internet explorer, jusched.exe, mozilla, plug-in, programm, richtlinie, rootkit, routine, rundll, software, udp, virus, windows xp |
Linear-Darstellung
