Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Log von Malwarebytes, Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.09.2010, 18:35   #1
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Hallo zusammen,

anbei mein Log von Malwarebytes, bin neu hier und hoffe dies genügt nachdem ich alle Anleitungen gelesen habe ;-))
Habe im Forum nach Crypt.IR.50 gesucht und nach Anweisung Malwarebytes laufen gelassen, danach folgt noch OTL. Schon mal großes Danke.

raby


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4550

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.09.2010 19:10:47
mbam-log-2010-09-05 (19-10-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143892
Laufzeit: 14 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{5843090c-c736-3c10-0aac-c44a95d10e18} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{3f1cdad3-0a1b-e65e-aa10-2d2fdbede959} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.

Alt 05.09.2010, 18:57   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 05.09.2010, 19:23   #3
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Edit: sorry, stop, mache erst noch den Vollscan, habe Antwort eben erst gelesen.
raby

*****
...und hier auch die zwei Logs von OTL (leider hat mein Antivir gerade wieder einen Dldr.Agent.bq6 gemeldet, scheint also noch nicht sauber zu sein.) Weiters dickes Danke für die Hilfe. raby.


***deleted***
__________________

Alt 05.09.2010, 21:56   #4
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



so, hier nun Log des Vollscans:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4550

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.09.2010 22:55:10
mbam-log-2010-09-05 (22-55-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 230121
Laufzeit: 2 Stunde(n), 24 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Installer\{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}\IconAD6B62AC3.chm (Trojan.Spambot) -> Quarantined and deleted successfully.

Alt 05.09.2010, 22:21   #5
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



und nun noch die OTL Logs - Antivir meldet weiterhin TL/Dldr.Agent.bq.6..;-((

LOG1:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 05.09.2010 23:12:38 - Run 1
OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS
Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: RABY
Current User Name: RK
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Netzmanager Service) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (TSMService) -- C:\Programme\T-DSL SpeedManager\tsmsvc.exe (T-Systems Nova, Berkom)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation)
DRV - (TNPacket) -- C:\Programme\T-DSL SpeedManager\TNPACKET.SYS (T-Systems Nova GmbH)
DRV - (RTL8023) -- C:\WINDOWS\system32\drivers\Rtlnic51.sys (Realtek Semiconductor Corporation                           )
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH)
DRV - (VOBID) -- C:\WINDOWS\System32\DRIVERS\vobid.sys (Pinnacle Systems)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation)
DRV - (PCANDIS5) -- C:\Programme\T-DSL SpeedManager\PCANDIS5.SYS (Printing Communications Assoc., Inc. (PCAUSA))
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.05 18:23:10 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.05 18:23:10 | 000,000,000 | ---D | M]
 
[2008.08.27 01:35:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Extensions
[2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions
[2010.09.04 19:28:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.30 12:52:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.31 12:07:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.05 18:23:01 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.05 18:23:01 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.05 18:23:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.05 18:23:02 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.05 18:23:02 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.05.22 13:52:14 | 000,305,721 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 127.0.0.1	123haustiereundmehr.com
O1 - Hosts: 10549 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATIModeChange] C:\WINDOWS\System32\Ati2mdxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FirstSteps]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe ()
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Wizard]  File not found
O4 - HKCU..\Run: [Getdo]  File not found
O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousMachineGroupPolicy = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousUserGroupPolicy = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &Google-Suche - c:\programme\google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verweisseiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage)
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} https://img.web.de/v/fotoalbum/activex/upload_1115.cab (Upload Control)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} hxxp://software-dl.real.com/031a77bf21ea827c1805/netzip/RdxIE601_de.cab (Reg Error: Key error.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135427590421 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037 (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.04.01 14:27:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{57cfd388-a709-11db-90ae-000ea6919375}\Shell\AutoRun\command - "" = F:\InstallTomTomHOME.exe -- File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.05 18:28:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Malwarebytes
[2010.09.05 18:28:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.05 18:28:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.05 18:28:19 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.05 18:28:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.09.05 13:42:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.09.05 13:42:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.09.04 19:51:31 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\RK\Recent
[2010.09.04 19:44:22 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.31 12:07:53 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.08.10 21:34:26 | 000,000,000 | ---D | C] -- C:\72536be8471601f1be1166
[2010.08.09 18:55:04 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 6.0
[2010.08.08 22:16:47 | 000,000,000 | ---D | C] -- C:\Programme\PixelNet Foto Client
[2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Programme\Netzmanager
[2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2010.08.08 21:15:57 | 000,014,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg2.dll
[2010.08.08 21:12:11 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild
[2010.08.08 21:03:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\XPSViewer
[2010.08.08 21:03:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en-us
[2010.08.08 21:01:05 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies
[2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xpssvcs.dll
[2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpssvcs.dll
[2010.08.08 21:00:15 | 000,575,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpsshhdr.dll
[2010.08.08 21:00:15 | 000,276,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMPhoto.dll
[2010.08.08 21:00:14 | 000,716,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecs.dll
[2010.08.08 21:00:14 | 000,352,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecsExt.dll
[2010.08.08 20:59:57 | 000,117,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\prntvpt.dll
[2010.08.08 20:59:54 | 000,412,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\photometadatahandler.dll
[2010.08.08 20:59:49 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\filterpipelineprintproc.dll
[2010.08.08 20:59:48 | 000,597,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\printfilterpipelinesvc.exe
[2010.08.08 20:49:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B}
[2010.08.08 20:47:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\PackageAware
[1997.09.04 00:00:00 | 000,311,296 | ---- | C] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\msacc8.olb
[6 C:\WINDOWS\Fonts\*.tmp files -> C:\WINDOWS\Fonts\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.05 23:13:06 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.05 22:59:01 | 000,001,076 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.05 22:58:56 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.05 22:58:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.05 22:58:51 | 536,440,832 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.05 22:57:39 | 006,815,744 | -H-- | M] () -- C:\Dokumente und Einstellungen\RK\NTUSER.DAT
[2010.09.05 22:57:39 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\RK\ntuser.ini
[2010.09.05 19:40:13 | 000,021,504 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\zgng.xls
[2010.09.05 18:28:26 | 000,000,684 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.04 20:12:08 | 000,402,060 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg
[2010.09.04 19:12:34 | 000,160,768 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.04 19:06:06 | 000,222,824 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.09.04 18:55:10 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.08.31 20:22:38 | 000,033,101 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Desktop\BACKUP_Eigene-Dateien.fsy
[2010.08.31 11:43:54 | 000,460,664 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.31 11:43:54 | 000,442,602 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.31 11:43:54 | 000,085,396 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.31 11:43:54 | 000,071,868 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.31 11:43:53 | 001,029,634 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.12 15:41:04 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.12 15:40:59 | 000,692,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.08 21:24:50 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.05 18:28:26 | 000,000,684 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.04 20:11:29 | 000,402,060 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg
[2010.08.31 11:51:20 | 000,353,760 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.08.08 21:24:50 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[2009.02.15 17:55:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2008.05.31 14:41:29 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2006.11.30 11:20:59 | 000,000,037 | ---- | C] () -- C:\WINDOWS\easyprint.INI
[2006.06.14 14:00:14 | 000,000,190 | ---- | C] () -- C:\WINDOWS\QTW.INI
[2006.02.10 23:18:13 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.02.10 23:05:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.11.17 16:47:13 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2005.11.17 16:21:18 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI
[2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll
[2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll
[2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll
[2005.06.11 19:24:52 | 000,000,021 | ---- | C] () -- C:\Programme\AntivirAVWIN.INI
[2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll
[2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll
[2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll
[2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll
[2005.05.29 22:48:38 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2005.05.25 04:50:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\d3az.dll
[2005.05.18 16:12:03 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.05.16 04:12:11 | 000,000,561 | ---- | C] () -- C:\WINDOWS\stammbaum.INI
[2004.10.29 19:19:12 | 000,278,528 | ---- | C] () -- C:\WINDOWS\System32\mwtsp.dll
[2004.10.03 15:50:02 | 000,003,424 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2004.09.24 16:56:14 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\mwnsp.dll
[2004.05.06 20:11:28 | 000,000,490 | ---- | C] () -- C:\WINDOWS\STSBOERS.INI
[2004.04.28 22:00:35 | 000,160,768 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2004.04.27 22:06:54 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004.04.01 14:56:42 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004.04.01 14:40:35 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2004.04.01 14:33:49 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2004.04.01 14:33:49 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2004.04.01 14:33:49 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2004.04.01 14:33:49 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2004.04.01 14:31:44 | 000,000,746 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004.04.01 14:24:49 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2004.02.15 20:43:53 | 000,022,040 | ---- | C] () -- C:\WINDOWS\System32\_005877_.tmp.dll
[2004.02.15 20:43:36 | 000,249,270 | ---- | C] () -- C:\WINDOWS\System32\_005909_.tmp.dll
[2004.02.15 20:39:55 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[2002.02.27 17:28:16 | 000,138,752 | ---- | C] () -- C:\WINDOWS\System32\MASE32.DLL
[2002.02.27 17:28:16 | 000,057,856 | ---- | C] () -- C:\WINDOWS\System32\MASD32.DLL
[2002.02.27 17:28:14 | 000,196,096 | ---- | C] () -- C:\WINDOWS\System32\MACD32.DLL
[2002.02.27 17:28:14 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\MAMC32.DLL
[2002.02.27 17:28:14 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\MA32.DLL
[2000.04.03 23:00:00 | 000,130,560 | ---- | C] () -- C:\WINDOWS\System32\ZIPDLL.DLL
 
========== LOP Check ==========
 
[2004.11.14 20:19:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2008.08.31 12:23:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2010.08.31 11:56:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2008.11.20 12:55:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager
[2004.04.27 20:24:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2004.05.02 17:02:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware
[2007.05.05 14:39:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2010.08.08 21:25:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B}
[2010.04.16 22:41:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2004.11.14 20:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\ACD Systems
[2010.09.05 18:33:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Iccooc
[2004.04.28 22:00:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\InterVideo
[2010.09.04 19:43:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Micrografx
[2006.11.30 10:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Pixum
[2004.05.31 14:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Steinberg
[2004.11.01 19:05:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-DSL SpeedManager
[2004.04.27 20:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-Online
[2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis
[2010.07.25 11:54:56 | 000,000,458 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq
@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs
@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr
< End of report >
         
--- --- ---

Log2:OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 05.09.2010 23:12:39 - Run 1
OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS
Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: RABY
Current User Name: RK
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe" "%1" (ACD Systems Ltd.)
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 21
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43B74FAB-FB58-447D-8D3A-5F638AF36FD1}" = Netzmanager
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{63357B67-2EC6-4390-B926-A11D0C962344}_is1" = GENprofi - Stammbaum
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{7148F0A8-6813-11D6-A77B-00B0D0142060}" = Java 2 Runtime Environment, SE v1.4.2_06
"{76BC2442-0002-47FA-9617-43BAD82BEF4C}" = Bonjour
"{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}" = T-Online 5.0
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{996A2FAA-7514-4628-9D12-A8FC34A0016E}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}" = Pinnacle InstantCD/DVD Suite
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5670-0000-900000000003}" = Korean Fonts Support For Adobe Reader 9
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B5C3B892-0849-476C-9F46-B12F84819D57}" = Apple Mobile Device Support
"{B71E1204-64DA-4F27-987C-44B98067734A}" = ACDSee 6.0 Standard Trial
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE325D55-FCAF-4273-BB79-069BB8747270}" = TomTom HOME
"{CFE78643-3CDB-46EF-9677-795415937ABB}" = CorelDRAW ESSENTIALS
"{DF403CD5-0374-4380-92C2-21A3EB72068B}_is1" = GX::Transcoder.net AWE
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0 
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FB26A501-6BA6-459B-89AA-9736730752FB}" = VoiceOver Kit
"7-Zip" = 7-Zip 4.42
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Advanced WMA Workshop_is1" = Advanced WMA Workshop version 2.2
"Ahnenblatt" = Ahnenblatt
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"cam2pc" = cam2pc (remove only)
"Cam4you utilities" = Cam4you utilities
"CCleaner" = CCleaner
"dBpowerAMP Music Converter" = dBpowerAMP Music Converter
"ExtractNow_is1" = ExtractNow
"FileSync" = FileSync
"FileZilla" = FileZilla (remove only)
"GedLink Editor Installation" = GedLink Editor Installation
"HD Tune_is1" = HD Tune 2.55
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Ahead Nero BurnRights
"NeroBackItUp!UninstallKey" = Nero BackItUp
"NeroVision!UninstallKey" = NeroVision Express 2 SE
"Netzmanager" = Netzmanager
"PixelNet Foto Client" = PixelNet Foto Client 4.8
"Pixum EasyPrint" = Pixum EasyPrint 1.2
"RealPlayer 6.0" = RealPlayer
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4
"ST5UNST #1" = FreeFTP
"Stammbaum-Drucker 3" = Stammbaum-Drucker 3
"StS-Börse" = StS-Börse
"TDSLSM" = T-DSL SpeedManager
"The Panorama Factory" = Panorama Factory
"T-Online Copas" = T-Online Copas
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = The GIMP 2.2.9
"WinGTK-2_is1" = GTK+ 2.6.9 runtime environment
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 69281812
 
Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 69281812
 
Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 69284031
 
Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 69284031
 
Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 69286218
 
Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 69286218
 
Error - 31.08.2010 09:46:57 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  F:\DCIM\101MSDCF\DSC02665.JPG.

 [ACCESS_VIOLATION Exception!! EIP = 0x1a71188]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 31.08.2010 09:49:42 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  F:\DCIM\101MSDCF\DSC02718.JPG.

 [ACCESS_VIOLATION Exception!! EIP = 0x1a71188]   Bitte Avira informieren und die 
obige Datei übersenden!
 
[ System Events ]
Error - 31.08.2010 06:25:06 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1079
 
Error - 31.08.2010 12:55:47 | Computer Name = RABY | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst AntiVirSchedulerService.
 
Error - 31.08.2010 13:53:18 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1079
 
Error - 04.09.2010 12:54:47 | Computer Name = RABY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.1.3 über die 
  Netzwerkkarte mit der Netzwerkadresse 000EA6919375 ist verloren gegangen.
 
Error - 04.09.2010 13:00:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1079
 
Error - 05.09.2010 07:42:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1079
 
Error - 05.09.2010 13:13:56 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1079
 
Error - 05.09.2010 13:14:23 | Computer Name = RABY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   IntelIde
 
Error - 05.09.2010 16:59:14 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1079
 
Error - 05.09.2010 16:59:41 | Computer Name = RABY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   IntelIde
 
 
< End of report >
         
--- --- ---


Alt 06.09.2010, 07:43   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [FirstSteps]  File not found
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [Wizard]  File not found
O4 - HKCU..\Run: [Getdo]  File not found
O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe ()
[2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll
[2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll
[2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll
[2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll
[2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll
[2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll
[2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll
[2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq
@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs
@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
--> Log von Malwarebytes, Trojaner

Alt 06.09.2010, 17:30   #7
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



tnx cosinus !

hier nach dem OTL-Fix das Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\FirstSteps deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Wizard deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Msmfc deleted successfully.
C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe moved successfully.
C:\WINDOWS\ujbnb.dll moved successfully.
C:\WINDOWS\netuo.dll moved successfully.
C:\WINDOWS\ztwms.dll moved successfully.
C:\WINDOWS\system32\qruwi.dll moved successfully.
C:\WINDOWS\system32\ntwf.dll moved successfully.
C:\WINDOWS\system32\netti.dll moved successfully.
C:\WINDOWS\system32\iejg32.dll moved successfully.
C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis folder moved successfully.
ADS C:\WINDOWS\wmprfDEU.prx:jeyrvz deleted successfully.
ADS C:\WINDOWS\vb.ini:giocbv deleted successfully.
ADS C:\WINDOWS\rxrgs.dat:yhbmxb deleted successfully.
ADS C:\WINDOWS\_default.pif:mvazje deleted successfully.
ADS C:\WINDOWS\_default.pif:kfmynq deleted successfully.
ADS C:\WINDOWS\bootstat.dat:uapwfs deleted successfully.
ADS C:\WINDOWS\Angler.bmp:yujdvz deleted successfully.
ADS C:\WINDOWS\Zapotek.bmp:tchuht deleted successfully.
ADS C:\WINDOWS\WindowsUpdate.log:refmbw deleted successfully.
ADS C:\WINDOWS\stammbaum.INI:fdkntk deleted successfully.
ADS C:\WINDOWS\REGLOCS.OLD:ghigdy deleted successfully.
ADS C:\WINDOWS\hzbum.txt:clbayo deleted successfully.
ADS C:\WINDOWS\explorer.scf:uogcnj deleted successfully.
ADS C:\WINDOWS\euemp.dat:wwviir deleted successfully.
ADS C:\WINDOWS\_default.pif:lfuvxw deleted successfully.
ADS C:\WINDOWS\_default.pif:hkuhty deleted successfully.
ADS C:\WINDOWS\_default.pif:bkdajo deleted successfully.
ADS C:\WINDOWS\Feder.bmpxfokb deleted successfully.
ADS C:\WINDOWS\corelpf.lrs:fmaenp deleted successfully.
ADS C:\WINDOWS\_default.pifxizrr deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: remoteservice

User: RK
->Temp folder emptied: 167702 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 76321106 bytes
->Flash cache emptied: 1498970 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1075897 bytes
%systemroot%\System32 .tmp files removed: 69501768 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 329714 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 142,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09062010_182355

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 06.09.2010, 19:00   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.09.2010, 21:41   #9
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



hallo cosinus,
mit etwas Verzögerung wg. Abwesenheit hier nach CCleaner nun der Log von cofi - konnte bei Antivir nur den Guard deaktivieren, irgendwelcher Rest blieb aktiv, auch Dienstekillen war nicht möglich. Hoffe das hat nicht gestört.

danke !!! raby


Combofix Logfile:
Code:
ATTFilter
ComboFix 10-09-11.02 - RK 11.09.2010  21:51:51.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.512.231 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\RK\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\RdxIE.dll
c:\windows\regedit.com
c:\windows\system32\_005866_.tmp.dll
c:\windows\system32\_005867_.tmp.dll
c:\windows\system32\_005868_.tmp.dll
c:\windows\system32\_005869_.tmp.dll
c:\windows\system32\_005876_.tmp.dll
c:\windows\system32\_005877_.tmp.dll
c:\windows\system32\_005878_.tmp.dll
c:\windows\system32\_005879_.tmp.dll
c:\windows\system32\_005881_.tmp.dll
c:\windows\system32\_005882_.tmp.dll
c:\windows\system32\_005885_.tmp.dll
c:\windows\system32\_005886_.tmp.dll
c:\windows\system32\_005888_.tmp.dll
c:\windows\system32\_005889_.tmp.dll
c:\windows\system32\_005890_.tmp.dll
c:\windows\system32\_005892_.tmp.dll
c:\windows\system32\_005894_.tmp.dll
c:\windows\system32\_005895_.tmp.dll
c:\windows\system32\_005896_.tmp.dll
c:\windows\system32\_005900_.tmp.dll
c:\windows\system32\_005901_.tmp.dll
c:\windows\system32\_005903_.tmp.dll
c:\windows\system32\_005904_.tmp.dll
c:\windows\system32\_005906_.tmp.dll
c:\windows\system32\_005907_.tmp.dll
c:\windows\system32\_005908_.tmp.dll
c:\windows\system32\_005909_.tmp.dll
c:\windows\system32\_005910_.tmp.dll
c:\windows\system32\_005911_.tmp.dll
c:\windows\system32\_005912_.tmp.dll
c:\windows\system32\_005915_.tmp.dll
c:\windows\system32\_005916_.tmp.dll
c:\windows\system32\_005917_.tmp.dll
c:\windows\system32\_005918_.tmp.dll
c:\windows\system32\_005919_.tmp.dll
c:\windows\system32\_005924_.tmp.dll
c:\windows\system32\_005926_.tmp.dll
c:\windows\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-11 bis 2010-09-11  ))))))))))))))))))))))))))))))
.

2010-09-06 16:23 . 2010-09-06 16:23	--------	d-----w-	C:\_OTL
2010-09-05 16:28 . 2010-09-05 16:28	--------	d-----w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Malwarebytes
2010-09-05 16:28 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-05 16:28 . 2010-09-05 16:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-05 16:28 . 2010-09-05 16:28	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-05 16:28 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-05 11:42 . 2010-09-05 11:42	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-05 11:42 . 2010-09-05 11:42	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-04 17:44 . 2010-09-11 19:31	--------	d-----w-	c:\programme\CCleaner
2010-08-31 09:51 . 2010-09-04 18:17	353760	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 19:21 . 2010-05-01 02:07	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-09-05 16:33 . 2008-06-25 05:01	--------	d-----w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Iccooc
2010-09-04 17:52 . 2005-06-13 19:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-04 17:43 . 2004-09-16 18:54	--------	d-----w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Micrografx
2010-09-04 17:06 . 2005-11-20 16:26	222824	----a-w-	c:\dokumente und einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-31 15:46 . 2006-02-22 17:44	--------	d-----w-	c:\programme\cam2pc
2010-08-31 10:09 . 2004-12-12 17:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-08-31 10:07 . 2004-12-12 17:27	--------	d-----w-	c:\programme\Java
2010-08-31 09:56 . 2010-08-08 19:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Netzmanager
2010-08-31 09:43 . 2004-02-15 18:44	85396	----a-w-	c:\windows\system32\perfc007.dat
2010-08-31 09:43 . 2004-02-15 18:44	460664	----a-w-	c:\windows\system32\perfh007.dat
2010-08-09 16:55 . 2010-08-09 16:55	--------	d-----w-	c:\programme\MSXML 6.0
2010-08-08 20:19 . 2010-08-08 20:16	--------	d-----w-	c:\programme\PixelNet Foto Client
2010-08-08 19:25 . 2010-08-08 18:49	--------	dc----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B}
2010-08-08 19:24 . 2010-08-08 19:24	--------	d-----w-	c:\programme\Netzmanager
2010-08-08 19:12 . 2010-08-08 19:12	--------	d-----w-	c:\programme\MSBuild
2010-08-08 19:01 . 2010-08-08 19:01	--------	d-----w-	c:\programme\Reference Assemblies
2010-08-07 10:27 . 2004-04-27 18:35	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-08-07 10:17 . 2010-08-07 10:17	503808	----a-w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcp71.dll
2010-08-07 10:17 . 2010-08-07 10:17	499712	----a-w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\jmc.dll
2010-08-07 10:17 . 2010-08-07 10:17	12800	----a-w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-d3d.dll
2010-08-07 10:17 . 2010-08-07 10:17	61440	----a-w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-sse.dll
2010-08-07 10:17 . 2010-08-07 10:17	348160	----a-w-	c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcr71.dll
2010-08-02 18:38 . 2005-09-29 19:43	--------	d-----w-	c:\programme\Lavasoft
2010-07-25 10:36 . 2005-06-13 19:26	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-07-25 10:30 . 2009-05-21 11:03	--------	d-----w-	c:\programme\TeaTimer (Spybot - Search & Destroy)
2010-07-25 10:30 . 2009-05-21 11:03	--------	d-----w-	c:\programme\SDHelper (Spybot - Search & Destroy)
2010-07-25 09:50 . 2009-05-21 10:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-07-17 03:00 . 2010-05-30 10:52	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-06-14 14:30 . 2004-04-01 12:26	743936	----a-w-	c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
2005-11-17 14:21 . 2005-11-17 14:21	21	----a-w-	c:\programme\AVPersonalAVWIN.INI
2005-06-11 17:24 . 2005-06-11 17:24	21	----a-w-	c:\programme\AntivirAVWIN.INI
1997-09-03 22:00 . 1997-09-03 22:00	311296	----a-w-	c:\programme\Gemeinsame Dateien\msacc8.olb
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2003-12-12 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 55296]
"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-11-10 406016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-03-25 23:10	142120	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [01.08.2003 14:47 29239]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.09.2009 22:07 135336]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [22.03.2010 16:40 9728]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.05.2010 13:08 136176]
S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 18:44 9696]
.
Inhalt des "geplante Tasks" Ordners

2010-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07]

2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = 
uInternet Connection Wizard,ShellNext = hxxp://www.t-online.de/service/redir/tosw5_webtour.htm
uInternet Settings,ProxyOverride = *.local
IE: &Google-Suche - c:\programme\google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Verweisseiten - c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} - hxxps://img.web.de/v/fotoalbum/activex/upload_1115.cab
FF - ProfilePath - c:\dokumente und einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-dimsntfy - (no file)
MSConfigStartUp-avserve - c:\windows\avserve.exe
MSConfigStartUp-avserve2 - c:\windows\avserve2.exe
MSConfigStartUp-mfcgc - c:\windows\system32\mfcgc.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-11 22:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\windows\_default.pif:udvpin 63488 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2608)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\locator.exe
c:\windows\SOUNDMAN.EXE
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-11  22:11:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-11 20:11

Vor Suchlauf: 24 Verzeichnis(se), 28.222.484.480 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 28.152.479.744 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 57F34F10DBAAD69B41DB0FF1F88F61BD
         
--- --- ---

Alt 12.09.2010, 20:54   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.09.2010, 19:54   #11
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Hallo Arne,

nochmal danke bis hierhin, hier die drei logs (Gmer, Osam, Bootkit Remover):

raby

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:12:15
Windows 5.1.2600 Service Pack 2
Running: 0irm7ig7.exe; Driver: C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys


---- System - GMER 1.0.15 ----

SSDT  F8C847AE                                                                                               ZwCreateKey
SSDT  F8C847A4                                                                                               ZwCreateThread
SSDT  F8C847B3                                                                                               ZwDeleteKey
SSDT  F8C847BD                                                                                               ZwDeleteValueKey
SSDT  F8C847C2                                                                                               ZwLoadKey
SSDT  F8C84790                                                                                               ZwOpenProcess
SSDT  F8C84795                                                                                               ZwOpenThread
SSDT  F8C847CC                                                                                               ZwReplaceKey
SSDT  F8C847C7                                                                                               ZwRestoreKey
SSDT  F8C847B8                                                                                               ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

?     Combo-Fix.sys                                                                                          Das System kann die angegebene Datei nicht finden. !
?     C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys                                                                   Das System kann die angegebene Datei nicht finden. !
?     C:\cofi\catchme.sys                                                                                    Das System kann den angegebenen Pfad nicht finden. !
?     C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                             Das System kann die angegebene Datei nicht finden. !
?     System32\Drivers\hiber_WMILIB.SYS                                                                      Das System kann den angegebenen Pfad nicht finden. !

---- Files - GMER 1.0.15 ----

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP596\A0080067.ini:njljwe  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080183.ini:esqzwh  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080184.ini:njljwe  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:btvvfr  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:kgijnp  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080186.ini:iodtch  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080187.ini:xqxmuw  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:aqzcda  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:bprjws  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:ophnyw  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:pbyobc  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:rbohdu  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:udvpin  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083413.INI:kgijnp  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:bprjws  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:ophnyw  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:pbyobc  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:rbohdu  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:udvpin  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:ophnyw  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:pbyobc  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:rbohdu  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:udvpin  63488 bytes executable
ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083434.pif:udvpin  63488 bytes executable
ADS   C:\WINDOWS\_default.pif:udvpin                                                                         63488 bytes executable

---- EOF - GMER 1.0.15 ----
         
--- --- ---

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:48:38 on 13.09.2010

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.11

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"NeroBurnRights.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\NeroBurnRights.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASAPIW2K" (ASAPIW2K) - "Pinnacle Systems GmbH" - C:\WINDOWS\System32\Drivers\ASAPIW2K.sys
"ASPI32" (ASPI32) - ? - C:\WINDOWS\system32\drivers\ASPI32.sys  (File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCANDIS5 Protocol Driver" (PCANDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\PROGRA~1\T-DSLS~1\PCANDIS5.SYS
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"T-Systems Nova Packet Capture Driver" (TNPacket) - "T-Systems Nova GmbH" - C:\Programme\T-DSL SpeedManager\TNPACKET.SYS
"ugldrpob" (ugldrpob) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys  (Hidden registry entry, rootkit activity | File not found)
"VOBID" (VOBID) - "Pinnacle Systems" - C:\WINDOWS\System32\DRIVERS\vobid.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll
{F5D92341-0A64-11D0-9956-0000E8096023} "CD Copy Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll
{F5D92342-0A64-11D0-9956-0000E8096023} "CD Wizard Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll
 "CorelDRAW ESSENTIALS Shell Extension Component" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FED7043D-346A-414D-ACD7-550D052499A7} "dBpShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dBShell.dll
{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} "dMCIShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{F5D92344-0A64-11D0-9956-0000E8096023} "InstantWrite Shellextension" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? -   (File not found | COM-object registry key not found)
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "Yahoo! Toolbar" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} "Upload Control" - "WEB.DE AG" - C:\WINDOWS\DOWNLO~1\upload.ocx / https://img.web.de/v/fotoalbum/activex/upload_1115.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage" - "Microsoft® Corporation" - C:\WINDOWS\System32\LegitCheckControl.dll / hxxp://go.microsoft.com/fwlink/?linkid=39204
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
{9F1C11AA-197B-4942-BA54-47A8489BB47F} "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" - ? -   (File not found | COM-object registry key not found) / hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037
{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444500000000} "{D27CDB6E-AE6D-11CF-96B8-444500000000}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - c:\programme\google\googletoolbar1.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\RK\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ATIPTA" - "ATI Technologies, Inc." - C:\ATI-CPanel\atiptaxx.exe
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"PinnacleDriverCheck" - ? - C:\WINDOWS\System32\PSDrvCheck.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Netzmanager Infrastruktur Informationssystem Dienst" (Netzmanager Service) - "Deutsche Telekom AG" - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
"TSMService" (TSMService) - "T-Systems Nova, Berkom" - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`02738a00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Alt 13.09.2010, 21:15   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL)

Code:
ATTFilter
:Files
C:\WINDOWS\_default.pif:udvpin
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.09.2010, 20:04   #13
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



danke, hier das log:

All processes killed
========== FILES ==========
File\Folder C:\WINDOWS\_default.pif:udvpin not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService


raby

Alt 14.09.2010, 20:50   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.09.2010, 19:08   #15
raby
 
Log von Malwarebytes, Trojaner - Standard

Log von Malwarebytes, Trojaner



Hi Arne,

hier die zwei logs , SASW hat noch was entdeckt und gekillt (aber kritisch ?)):

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4621

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

15.09.2010 22:49:40
mbam-log-2010-09-15 (22-49-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 228154
Laufzeit: 3 Stunde(n), 16 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/16/2010 at 09:59 AM

Application Version : 4.43.1000

Core Rules Database Version : 5516
Trace Rules Database Version: 3328

Scan type : Complete Scan
Total Scan Time : 02:48:46

Memory items scanned : 427
Memory threats detected : 0
Registry items scanned : 7315
Registry threats detected : 0
File items scanned : 91090
File threats detected : 3

Trojan.Security Toolbar
C:\Dokumente und Einstellungen\RK\Favoriten\Antivirus Test Online.url

Rootkit.Agent/Gen-Local
C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFF.EXE
C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFR.EXE

Antwort

Themen zu Log von Malwarebytes, Trojaner
adobe, anti-malware, anweisung, dateien, dokumente, einstellungen, explorer, forum, gesucht, großes, hallo zusammen, laufen, log, malwarebytes, mein log, microsoft, minute, neu, service, software, trojan.agent, trojan.bho, trojan.zbotr.gen, trojane, trojaner, update, version, zusammen




Ähnliche Themen: Log von Malwarebytes, Trojaner


  1. Windows 10 Trojaner mit Malwarebytes?
    Log-Analyse und Auswertung - 22.09.2015 (5)
  2. Malwarebytes Suchergebnis, Trojaner?
    Smartphone, Tablet & Handy Security - 09.09.2014 (1)
  3. Virus blockt Malwarebytes und Malwarebytes Chameleon
    Log-Analyse und Auswertung - 23.08.2014 (19)
  4. Malwarebytes meldet Trojaner Dropper
    Log-Analyse und Auswertung - 23.12.2013 (5)
  5. MalwareBytes findet Trojaner(PUP)
    Log-Analyse und Auswertung - 04.10.2013 (5)
  6. Trojaner in Qurantäne bei Antivir und Malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 25.09.2013 (9)
  7. GVU-Trojaner in Malwarebytes-Quarantäne - PC nun Trojaner-frei?
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (9)
  8. GVU-Trojaner (Malwarebytes und OTL Log inside)
    Log-Analyse und Auswertung - 13.11.2012 (2)
  9. Verschlüsselungs-Trojaner mit Malwarebytes in Quarantäne und nun??
    Plagegeister aller Art und deren Bekämpfung - 11.11.2012 (5)
  10. GUV Trojaner mit Malwarebytes deaktiviert. Was nun?
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (14)
  11. GVU Trojaner - OTL & Malwarebytes gescannt!
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (1)
  12. GVU-Trojaner weg dank malwarebytes?
    Log-Analyse und Auswertung - 29.08.2012 (19)
  13. Gvu Trojaner/mit Malwarebytes entfernt/mit OGL gescant
    Log-Analyse und Auswertung - 09.08.2012 (2)
  14. Polizei Trojaner und nun? Malwarebytes Log vorhanden
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (3)
  15. BKA-Trojaner und Meldungen von Malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 15.09.2011 (3)
  16. Malwarebytes findet Trojaner
    Log-Analyse und Auswertung - 13.09.2010 (25)
  17. Malwarebytes meldet Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (3)

Zum Thema Log von Malwarebytes, Trojaner - Hallo zusammen, anbei mein Log von Malwarebytes, bin neu hier und hoffe dies genügt nachdem ich alle Anleitungen gelesen habe ;-)) Habe im Forum nach Crypt.IR.50 gesucht und nach Anweisung - Log von Malwarebytes, Trojaner...
Archiv
Du betrachtest: Log von Malwarebytes, Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.