Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden

Tiuri · 23.09.2010, 18:39

Gestern hat Avira Maleware gemeldet

Zitat:

Die Datei 'C:\System Volume Information\_restore{28643851-898D-4EA0-8E04-401BA2D9E0F8}\RP304\A0126324.exe'
enthielt einen Virus oder unerwünschtes Programm 'BDS/IRCNite.aps' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eb559ea.qua' verschoben!

Zitat:

In der Datei 'C:\System Volume Information\_restore{28643851-898D-4EA0-8E04-401BA2D9E0F8}\RP304\A0126586.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Small.aulw' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Beim anschließenden Suchlauf wurde nur noch ein Fund gemeldet

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 22. September 2010  14:35

Es wird nach 2867413 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NAME-AD9EBC8FC7

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 22:32:04
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 22:32:18
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 22:32:22
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 22:35:30
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 11:15:43
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 11:15:54
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 11:16:16
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 11:16:32
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 11:16:33
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 11:16:33
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 11:16:33
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 11:16:33
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 11:16:34
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 11:16:34
VBASE015.VDF   : 7.10.11.231   129024 Bytes  21.09.2010 11:16:35
VBASE016.VDF   : 7.10.11.232     2048 Bytes  21.09.2010 11:16:35
VBASE017.VDF   : 7.10.11.233     2048 Bytes  21.09.2010 11:16:35
VBASE018.VDF   : 7.10.11.234     2048 Bytes  21.09.2010 11:16:35
VBASE019.VDF   : 7.10.11.235     2048 Bytes  21.09.2010 11:16:35
VBASE020.VDF   : 7.10.11.236     2048 Bytes  21.09.2010 11:16:36
VBASE021.VDF   : 7.10.11.237     2048 Bytes  21.09.2010 11:16:36
VBASE022.VDF   : 7.10.11.238     2048 Bytes  21.09.2010 11:16:36
VBASE023.VDF   : 7.10.11.239     2048 Bytes  21.09.2010 11:16:36
VBASE024.VDF   : 7.10.11.240     2048 Bytes  21.09.2010 11:16:36
VBASE025.VDF   : 7.10.11.241     2048 Bytes  21.09.2010 11:16:36
VBASE026.VDF   : 7.10.11.242     2048 Bytes  21.09.2010 11:16:36
VBASE027.VDF   : 7.10.11.243     2048 Bytes  21.09.2010 11:16:36
VBASE028.VDF   : 7.10.11.244     2048 Bytes  21.09.2010 11:16:36
VBASE029.VDF   : 7.10.11.245     2048 Bytes  21.09.2010 11:16:36
VBASE030.VDF   : 7.10.11.246     2048 Bytes  21.09.2010 11:16:36
VBASE031.VDF   : 7.10.11.253    80896 Bytes  22.09.2010 11:16:37
Engineversion  : 8.2.4.60  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  22.09.2010 11:16:53
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  22.09.2010 11:16:53
AESCN.DLL      : 8.1.6.1       127347 Bytes  22.09.2010 11:16:51
AESBX.DLL      : 8.1.3.1       254324 Bytes  22.09.2010 11:16:54
AERDL.DLL      : 8.1.9.2       635252 Bytes  22.09.2010 11:16:51
AEPACK.DLL     : 8.2.3.7       471413 Bytes  22.09.2010 11:16:49
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  22.09.2010 11:16:48
AEHEUR.DLL     : 8.1.2.26     2916727 Bytes  22.09.2010 11:16:47
AEHELP.DLL     : 8.1.13.3      242038 Bytes  22.09.2010 11:16:41
AEGEN.DLL      : 8.1.3.22      401780 Bytes  22.09.2010 11:16:40
AEEMU.DLL      : 8.1.2.0       393588 Bytes  22.09.2010 11:16:39
AECORE.DLL     : 8.1.16.2      192887 Bytes  22.09.2010 11:16:39
AEBB.DLL       : 8.1.1.0        53618 Bytes  22.09.2010 11:16:38
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_f3195dcc\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 22. September 2010  14:35

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchU3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlan111t.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdateChecker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD8Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BDTUpdateService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{28643851-898D-4EA0-8E04-401BA2D9E0F8}\RP304\A0126324.exe'
C:\System Volume Information\_restore{28643851-898D-4EA0-8E04-401BA2D9E0F8}\RP304\A0126324.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCNite.aps
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eb559ea.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 22. September 2010  14:36
Benötigte Zeit: 01:34 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    601 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    600 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
  51772 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden


Die Suchergebnisse werden an den Guard übermittelt.

Daraufhin habe ich Malwarebytes installiert und einen Quick-Scan durchführen lassen, was dieses Ergebnis zu Tage brachte

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4671

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.09.2010 14:45:28
mbam-log-2010-09-22 (14-45-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158748
Laufzeit: 7 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Wie zu sehen ist, wurden die beiden Dateien in die Quarantäne verschoben und dort habe ich sie dann gelöscht. Bei anschließenden Suchen mit Malewarebytes wurde nichts mehr gefunden, Avira hingegen meldet gestern nochmal einen der beiden oberen Funde

Zitat:

In der Datei 'C:\System Volume Information\_restore{28643851-898D-4EA0-8E04-401BA2D9E0F8}\RP304\A0126586.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Small.aulw' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Zudem scheinen meine beiden USB-Sticks und unsere Digitalkamera befallen zu sein. Avira meldete mehrere Funde, ein Suchlauf ergab folgenden Report

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. September 2010  14:26

Es wird nach 2867413 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NAME-AD9EBC8FC7

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 22:32:04
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 22:32:18
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 22:32:22
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 22:35:30
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 11:15:43
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 11:15:54
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 11:16:16
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 11:16:32
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 11:16:33
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 11:16:33
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 11:16:33
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 11:16:33
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 11:16:34
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 11:16:34
VBASE015.VDF   : 7.10.11.231   129024 Bytes  21.09.2010 11:16:35
VBASE016.VDF   : 7.10.11.232     2048 Bytes  21.09.2010 11:16:35
VBASE017.VDF   : 7.10.11.233     2048 Bytes  21.09.2010 11:16:35
VBASE018.VDF   : 7.10.11.234     2048 Bytes  21.09.2010 11:16:35
VBASE019.VDF   : 7.10.11.235     2048 Bytes  21.09.2010 11:16:35
VBASE020.VDF   : 7.10.11.236     2048 Bytes  21.09.2010 11:16:36
VBASE021.VDF   : 7.10.11.237     2048 Bytes  21.09.2010 11:16:36
VBASE022.VDF   : 7.10.11.238     2048 Bytes  21.09.2010 11:16:36
VBASE023.VDF   : 7.10.11.239     2048 Bytes  21.09.2010 11:16:36
VBASE024.VDF   : 7.10.11.240     2048 Bytes  21.09.2010 11:16:36
VBASE025.VDF   : 7.10.11.241     2048 Bytes  21.09.2010 11:16:36
VBASE026.VDF   : 7.10.11.242     2048 Bytes  21.09.2010 11:16:36
VBASE027.VDF   : 7.10.11.243     2048 Bytes  21.09.2010 11:16:36
VBASE028.VDF   : 7.10.11.244     2048 Bytes  21.09.2010 11:16:36
VBASE029.VDF   : 7.10.11.245     2048 Bytes  21.09.2010 11:16:36
VBASE030.VDF   : 7.10.11.246     2048 Bytes  21.09.2010 11:16:36
VBASE031.VDF   : 7.10.11.253    80896 Bytes  22.09.2010 11:16:37
Engineversion  : 8.2.4.60  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  22.09.2010 11:16:53
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  22.09.2010 11:16:53
AESCN.DLL      : 8.1.6.1       127347 Bytes  22.09.2010 11:16:51
AESBX.DLL      : 8.1.3.1       254324 Bytes  22.09.2010 11:16:54
AERDL.DLL      : 8.1.9.2       635252 Bytes  22.09.2010 11:16:51
AEPACK.DLL     : 8.2.3.7       471413 Bytes  22.09.2010 11:16:49
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  22.09.2010 11:16:48
AEHEUR.DLL     : 8.1.2.26     2916727 Bytes  22.09.2010 11:16:47
AEHELP.DLL     : 8.1.13.3      242038 Bytes  22.09.2010 11:16:41
AEGEN.DLL      : 8.1.3.22      401780 Bytes  22.09.2010 11:16:40
AEEMU.DLL      : 8.1.2.0       393588 Bytes  22.09.2010 11:16:39
AECORE.DLL     : 8.1.16.2      192887 Bytes  22.09.2010 11:16:39
AEBB.DLL       : 8.1.1.0        53618 Bytes  22.09.2010 11:16:38
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_f31b1c85\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 23. September 2010  14:26

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchU3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlan111t.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdateChecker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD8Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BDTUpdateService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'E:\kazna\tujeled.exe'
E:\kazna\tujeled.exe
Beginne mit der Suche in 'E:\mirk\okitab.exe'
Beginne mit der Suche in 'E:\mirk\okitab.exe'
E:\mirk\okitab.exe
    [FUND]      Suche in 'F:\kazna\tujeled.exe'
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
F:\kazna\tujeled.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3

Beginne mit der Desinfektion:
F:\kazna\tujeled.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f7aed14.qua' verschoben!
E:\mirk\okitab.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57ecc249.qua' verschoben!
E:\kazna\tujeled.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05b2985b.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 23. September 2010  14:33
Benötigte Zeit: 01:20 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    599 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    596 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise
  52077 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden


Die Suchergebnisse werden an den Guard übermittelt.

Malewarebytes hingegen hat überhaupt nichts mehr gefunden, weder auf der Festplatte, noch bei den Geräten.
Eben habe ich noch OTL durchgeführt, hier sind die beien Reporte

Code:

ATTFilter

OTL logfile created on: 23.09.2010 19:11:34 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\User\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 264,92 Gb Free Space | 88,88% Space Free | Partition Type: NTFS
Drive D: | 659,47 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
E: Drive not present or media not loaded
Drive F: | 1,87 Gb Total Space | 1,87 Gb Free Space | 99,84% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: NAME-AD9EBC8FC7
Current User Name: User
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\User\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\FileHippo.com\UpdateChecker.exe (FileHippo.com)
PRC - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
PRC - C:\Programme\Secunia\PSI\psi.exe (Secunia)
PRC - C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Nero\Update\NASvc.exe (Nero AG)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools)
PRC - C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Dokumente und Einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\CyberLink\Shared Files\brs.exe (cyberlink)
PRC - C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe (Cyberlink Corp.)
PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\Programme\Canon\MyPrinter\BJMYPRT.EXE (CANON INC.)
PRC - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe (NETGEAR)
PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\User\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (Browser Defender Update Service) -- C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
SRV - (NAUpdate) -- C:\Programme\Nero\Update\NASvc.exe (Nero AG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (sdCoreService) -- C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools)
SRV - (sdAuxService) -- C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (PSI) -- C:\WINDOWS\system32\drivers\psi_mf.sys (Secunia)
DRV - (PCTCore) -- C:\WINDOWS\system32\drivers\PCTCore.sys (PC Tools)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (MDC8021X) AEGIS Protocol (IEEE 802.1x) -- C:\WINDOWS\system32\drivers\mdc8021x.sys (Meetinghouse Data Communications)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - ({FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}) -- C:\Programme\CyberLink\PowerDVD8\000.fcl (Cyberlink Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (AR5523) -- C:\WINDOWS\system32\drivers\wg11tnd5.sys (NETGEAR, Inc.)
DRV - (ATHFMWDL) -- C:\WINDOWS\system32\drivers\Athfmwdl.sys (Windows (R) 2000 DDK provider)
DRV - (DNINDIS5) -- C:\WINDOWS\system32\DNINDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA))
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://svboxxxxxx.de/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
FF - prefs.js..extensions.enabledItems: {59c81df5-4b7a-477b-912d-4e0fdf64e5f2}:0.9.86
FF - prefs.js..extensions.enabledItems: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.8.20100408.6
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.3.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: lazarus@interclue.com:2.0.5
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2.0.0.4
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{cb84136f-9c44-433a-9048-c5cd9df1dc16}: C:\Programme\Spyware Doctor\BDT\FireFox\ [2010.07.11 01:11:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.21 23:18:58 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.19 21:16:04 | 000,000,000 | ---D | M]
 
[2009.02.24 16:32:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Extensions
[2010.09.23 01:28:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions
[2010.04.28 23:21:09 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.01.19 13:36:30 | 000,000,000 | ---D | M] (ChatZilla [de]) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2}
[2010.09.21 22:14:31 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.09.21 23:24:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.08.18 12:05:56 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.16 12:18:11 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2010.08.11 00:01:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\lazarus@interclue.com
[2010.02.13 13:45:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\optout@google.com
[2010.09.21 23:24:51 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\searchplugins\icqplugin-1.xml
[2010.06.21 17:35:24 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\searchplugins\icqplugin.xml
[2010.09.23 01:28:38 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.15 14:20:39 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.07.28 01:55:08 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.19 21:16:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.19 21:16:00 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.19 21:16:01 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.19 21:16:01 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.19 21:16:01 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001.08.18 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (PC Tools Browser Guard BHO) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Windows Live Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BDRegion] C:\Programme\CyberLink\Shared Files\brs.exe (cyberlink)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [ISTray] C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NBKeyScan] C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe ()
O4 - HKLM..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [FileHippo.com] C:\Programme\FileHippo.com\UpdateChecker.exe (FileHippo.com)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111T Smart Wizard.lnk = C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe (NETGEAR)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\LaunchU3.exe.lnk = C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe (Secunia)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Local intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Local intranet)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1285105375312 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1285105357296 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Santa Fe-Stuck.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Santa Fe-Stuck.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.13 17:45:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [1999.10.31 16:52:26 | 000,126,976 | R--- | M] (Impressions Games) - D:\autorun.exe -- [ CDFS ]
O32 - AutoRun File - [1999.10.31 16:56:48 | 000,000,339 | R--- | M] () - D:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\Shell - "" = AutoRun
O33 - MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\AutoRun\command - "" = E:\kazna\tujeled.exe -- File not found
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\explore\command - "" = E:\kazna\\tujeled.exe -- File not found
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\open\command - "" = E:\kazna\\tujeled.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.23 19:10:15 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe
[2010.09.22 14:05:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
[2010.09.22 14:05:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.22 14:05:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.22 14:05:10 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.22 14:05:10 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.09.22 13:24:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.09.22 13:15:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Avira
[2010.09.22 00:03:22 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.09.21 23:53:29 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2010.09.21 23:43:22 | 000,015,584 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wuapi.dll.mui
[2010.09.21 23:22:09 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.2
[2010.09.21 23:05:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Tracing
[2010.09.21 23:04:53 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft
[2010.09.21 23:04:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft
[2010.09.21 23:04:36 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live SkyDrive
[2010.09.21 23:04:13 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live
[2010.09.21 22:57:40 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Windows Live
[2010.09.21 22:53:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\AOL
[2010.09.21 22:38:17 | 000,000,000 | ---D | C] -- C:\Programme\Secunia
[2010.09.21 22:37:30 | 000,000,000 | ---D | C] -- C:\Programme\FileHippo.com
[2010.09.08 23:39:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\.xxx
[2010.09.08 00:32:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DivX
[2010.09.08 00:32:21 | 002,120,176 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxsfs.dll
[2010.09.08 00:32:21 | 000,567,792 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxdrv.dll
[2010.09.08 00:32:21 | 000,133,616 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxafs.dll
[2010.09.08 00:32:21 | 000,126,448 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxinsi64.exe
[2010.09.08 00:32:21 | 000,123,888 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxcpyi64.exe
[2010.09.08 00:32:21 | 000,072,176 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxhpinst.exe
[2010.09.08 00:32:21 | 000,068,592 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxinsa64.exe
[2010.09.08 00:32:21 | 000,068,080 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxcpya64.exe
[2010.09.08 00:32:21 | 000,009,200 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\drivers\cdralw2k.sys
[2010.09.08 00:32:21 | 000,009,072 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\drivers\cdr4_xp.sys
[2010.09.08 00:32:20 | 000,698,864 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\px.dll
[2010.09.08 00:32:20 | 000,440,816 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxwave.dll
[2010.09.08 00:32:20 | 000,219,632 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxmas.dll
[2010.09.08 00:32:20 | 000,100,848 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\vxblock.dll
[2010.09.08 00:32:01 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DivX Shared
[2010.09.08 00:28:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX
[35 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.23 19:10:27 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe
[2010.09.23 18:38:33 | 000,000,202 | ---- | M] () -- C:\WINDOWS\System32\PSLOG
[2010.09.23 18:38:07 | 000,002,681 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\LaunchU3.exe.lnk
[2010.09.23 18:38:03 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.23 18:38:03 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.23 18:38:01 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.23 15:19:34 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\NTUSER.DAT
[2010.09.23 15:19:09 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\User\ntuser.ini
[2010.09.23 14:27:02 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.22 14:05:15 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.22 12:57:57 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.09.22 12:57:35 | 000,018,944 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.22 00:56:37 | 000,477,060 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.09.22 00:56:37 | 000,435,396 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.09.22 00:56:37 | 000,091,106 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.09.22 00:56:37 | 000,068,292 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.09.22 00:56:34 | 001,086,404 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.09.22 00:52:14 | 000,281,336 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.09.22 00:36:29 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.09.21 23:47:29 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.21 23:25:22 | 000,002,651 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero BurnLite 10.lnk
[2010.09.21 23:24:45 | 000,001,457 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ICQ7.2.lnk
[2010.09.21 23:09:02 | 000,000,604 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\mIRC.lnk
[2010.09.21 22:59:40 | 000,110,592 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\cleanup.exe
[2010.09.21 22:51:23 | 000,001,893 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.09.21 22:50:01 | 013,943,672 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\GoogleEarthWin.exe
[2010.09.21 22:38:47 | 000,000,706 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\Secunia PSI.lnk
[2010.09.21 22:37:30 | 000,001,602 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Update Checker.lnk
[2010.09.21 22:25:33 | 005,343,082 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.09.19 00:10:41 | 000,121,856 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\eRep.doc
[2010.09.12 12:59:50 | 000,035,328 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\SV-Brief.doc
[2010.08.28 00:18:39 | 000,024,576 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Befehle chatzilla.doc
[35 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.22 14:05:15 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.21 23:24:45 | 000,001,457 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ICQ7.2.lnk
[2010.09.21 23:15:19 | 000,002,651 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero BurnLite 10.lnk
[2010.09.21 22:51:23 | 000,001,893 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.09.21 22:48:18 | 013,943,672 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\GoogleEarthWin.exe
[2010.09.21 22:38:47 | 000,000,706 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\Secunia PSI.lnk
[2010.09.21 22:37:30 | 000,001,602 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Update Checker.lnk
[2010.03.06 14:35:37 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2010.03.06 14:35:36 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2010.03.06 14:35:36 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2010.03.06 14:33:28 | 000,000,497 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2009.12.11 01:02:09 | 000,767,952 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll.old
[2009.12.11 01:02:09 | 000,767,928 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll
[2009.11.25 10:22:10 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\grcauth2.dll
[2009.11.25 10:22:10 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\grcauth1.dll
[2009.11.25 10:22:10 | 000,000,100 | ---- | C] () -- C:\WINDOWS\System32\prsgrc.dll
[2009.11.25 10:19:55 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll
[2009.11.25 10:19:55 | 000,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll
[2009.09.10 22:34:06 | 000,003,584 | ---- | C] () -- C:\WINDOWS\System32\CNCFLdNL.DLL
[2009.08.05 12:42:26 | 000,000,563 | ---- | C] () -- C:\WINDOWS\stammbaum.INI
[2009.07.25 19:03:04 | 000,000,152 | ---- | C] () -- C:\WINDOWS\CONFIG.INI
[2009.07.25 19:03:04 | 000,000,101 | ---- | C] () -- C:\WINDOWS\PSXLPR.INI
[2009.07.25 19:03:03 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\Bot.dll
[2009.06.12 13:41:43 | 000,000,054 | ---- | C] () -- C:\WINDOWS\uinst16.ini
[2009.06.12 13:40:06 | 000,000,239 | ---- | C] () -- C:\WINDOWS\card.ini
[2009.06.12 13:40:06 | 000,000,078 | ---- | C] () -- C:\WINDOWS\visit.ini
[2009.06.12 13:40:06 | 000,000,078 | ---- | C] () -- C:\WINDOWS\label.ini
[2009.06.12 13:40:06 | 000,000,078 | ---- | C] () -- C:\WINDOWS\kuvert.ini
[2009.06.12 13:40:06 | 000,000,078 | ---- | C] () -- C:\WINDOWS\cd_label.ini
[2009.06.12 13:40:06 | 000,000,056 | ---- | C] () -- C:\WINDOWS\katalog.ini
[2009.06.12 13:40:06 | 000,000,022 | ---- | C] () -- C:\WINDOWS\browser.ini
[2009.03.07 02:09:37 | 000,018,944 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.03.07 01:51:40 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.03.02 13:41:07 | 000,006,267 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2009.03.02 13:40:56 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2009.02.24 16:14:03 | 000,000,081 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2009.02.24 14:53:50 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2009.02.24 14:53:50 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2009.02.13 18:29:06 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.02.13 17:57:19 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4924.dll
[2009.02.13 17:54:31 | 000,005,496 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.02.13 17:54:28 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009.02.13 17:48:15 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2009.02.13 17:37:02 | 000,000,836 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2008.05.26 22:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 22:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 22:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\User\Desktop\cleanup.exe:SummaryInformation
@Alternate Data Stream - 138 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
< End of report >

Code:

ATTFilter

OTL Extras logfile created on: 23.09.2010 19:11:34 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\User\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 264,92 Gb Free Space | 88,88% Space Free | Partition Type: NTFS
Drive D: | 659,47 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
E: Drive not present or media not loaded
Drive F: | 1,87 Gb Total Space | 1,87 Gb Free Space | 99,84% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: NAME-AD9EBC8FC7
Current User Name: User
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE" = C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\WINDOWS\system32\usmt\migwiz.exe" = C:\WINDOWS\system32\usmt\migwiz.exe:*:Disabled:Assistent zum Übertragen von Dateien und Einstellungen -- (Microsoft Corporation)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\X-Chat 2\xchat.exe" = C:\Programme\X-Chat 2\xchat.exe:*:Enabled:X-Chat IRC Client -- File not found
"C:\Programme\Print Server Utilities\NPUtil.exe" = C:\Programme\Print Server Utilities\NPUtil.exe:*:Enabled:NPUtil -- ()
"C:\Programme\SPSSInc\Statistics17\statistics.exe" = C:\Programme\SPSSInc\Statistics17\statistics.exe:*:Disabled:Statistics17:exe -- File not found
"C:\Programme\SPSSInc\Statistics17\SPSSWinWrapIDE.exe" = C:\Programme\SPSSInc\Statistics17\SPSSWinWrapIDE.exe:*:Disabled:SPSS Basic Script Editor -- File not found
"C:\Programme\SPSSInc\Statistics17\statistics.com" = C:\Programme\SPSSInc\Statistics17\statistics.com:*:Disabled:Statistics17:com -- File not found
"C:\Dokumente und Einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- ()
"C:\Sierra\Empire Earth\Empire Earth.exe" = C:\Sierra\Empire Earth\Empire Earth.exe:*:Enabled:Empire Earth -- ()
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MX310_series" = Canon MX310 series
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live Upload Tool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2436F2A8-4B7E-4B6C-AE4E-604C84AA6A4F}" = Nero Core Components 10
"{2447500B-22D7-47BD-9B13-1A927F43A267}" = Empire Earth
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 21
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38697498-F4AA-4A8A-81F6-C09446AD020D}" = Print Server Utilities
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{45338B07-A236-4270-9A77-EBB4115517B5}" = Windows Live Sign-in Assistant
"{474F25F5-BDC9-40E5-B1B6-F6BF23FC106F}" = Windows Live Essentials
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{51123D42-6B9C-4B93-900C-29F9EC5963C9}" = NETGEAR WG111T Konfigurationsprogramm
"{523B2B1B-D8DB-4B41-90FF-C4D799E2758A}" = Nero ControlCenter 10 Help (CHM)
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{65BB0407-4CC8-4DC7-952E-3EEFDF05602A}" = Nero Update
"{6DFB899F-17A2-48F0-A533-ED8D6866CF38}" = Nero Control Center 10
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7F3AD00A-1819-4B15-BB7D-08B3586336D7}" = 3DMark06
"{818FB39B-1A57-4F1B-A54D-391C33D6C586}" = Tropico
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{842BEE12-CCCB-43F4-ABAF-CBA6DFE2583D}" = Nero BurnLite 10
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8AEA4BE2-2B52-41C0-BB7D-9F2D17AF1031}" = Nero 8
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00B2-0409-0000-0000000FF1CE}" = Microsoft Save as PDF or XPS Add-in for 2007 Microsoft Office programs
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB627AF2-9C7E-4DBD-816B-3B2646B81E89}" = Nero BurnLite 10
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-800000000004}" = Spelling Dictionaries Support For Adobe Reader 8
"{B57EAFF2-D6EE-4C6C-9175-ED9F17BFC1BC}" = Windows Live Messenger
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}" = U3Launcher
"{E6158D07-2637-4ECF-B576-37C489669174}" = Windows Live Call
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FE64AE29-0883-4C70-8388-DC026019C900}" = HP Image Zone Express
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMFBox" = AVM FRITZ!Box Dokumentation
"Browser Defender_is1" = Browser Defender 3.0.0.11
"Canon MX310 series Benutzerregistrierung" = Canon MX310 series Benutzerregistrierung
"CanonMyPrinter" = Canon My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"DivX Setup.divx.com" = DivX-Setup
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"ENTERPRISE" = Microsoft Office Enterprise 2007
"FileHippo.com" = FileHippo.com Update Checker
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"mIRC" = mIRC
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"MP Navigator EX 1.0" = Canon MP Navigator EX 1.0
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Pharao" = Pharao
"Secunia PSI" = Secunia PSI
"SpeedFan" = SpeedFan (remove only)
"Spyware Doctor" = Spyware Doctor 7.0
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 21.09.2010 17:32:07 | Computer Name = NAME-AD9EBC8FC7 | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\USER\STARTMENÜ\PROGRAMME\CYBERLINK
 POWERDVD 8\ONLINE-REGISTRIERUNG.LNK> in der Hash-Zuordnung kann nicht aktualisiert
 werden.  Kontext:  Anwendung, SystemIndex Katalog  Details:  Ein an das System angeschlossenes
 Gerät funktioniert nicht.   (0x8007001f) 
 
Error - 21.09.2010 17:32:07 | Computer Name = NAME-AD9EBC8FC7 | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\USER\STARTMENÜ\PROGRAMME\CYBERLINK
 POWERDVD 8\ONLINE-REGISTRIERUNG.LNK> in der Hash-Zuordnung kann nicht aktualisiert
 werden.  Kontext:  Anwendung, SystemIndex Katalog  Details:  Ein an das System angeschlossenes
 Gerät funktioniert nicht.   (0x8007001f) 
 
Error - 21.09.2010 17:32:07 | Computer Name = NAME-AD9EBC8FC7 | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\USER\STARTMENÜ\PROGRAMME\CYBERLINK
 POWERDVD 8\README.LNK> in der Hash-Zuordnung kann nicht aktualisiert werden.  Kontext:
  Anwendung, SystemIndex Katalog  Details:  Ein an das System angeschlossenes Gerät 
funktioniert nicht.   (0x8007001f) 
 
Error - 21.09.2010 17:32:07 | Computer Name = NAME-AD9EBC8FC7 | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\USER\STARTMENÜ\PROGRAMME\CYBERLINK
 POWERDVD 8\README.LNK> in der Hash-Zuordnung kann nicht aktualisiert werden.  Kontext:
  Anwendung, SystemIndex Katalog  Details:  Ein an das System angeschlossenes Gerät 
funktioniert nicht.   (0x8007001f) 
 
Error - 21.09.2010 17:32:07 | Computer Name = NAME-AD9EBC8FC7 | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\USER\STARTMENÜ\PROGRAMME\CYBERLINK
 POWERDVD 8\POWERDVD 8 DEINSTALLIEREN.LNK> in der Hash-Zuordnung kann nicht aktualisiert
 werden.  Kontext:  Anwendung, SystemIndex Katalog  Details:  Ein an das System angeschlossenes
 Gerät funktioniert nicht.   (0x8007001f) 
 
Error - 21.09.2010 17:32:07 | Computer Name = NAME-AD9EBC8FC7 | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\USER\STARTMENÜ\PROGRAMME\CYBERLINK
 POWERDVD 8\POWERDVD 8 DEINSTALLIEREN.LNK> in der Hash-Zuordnung kann nicht aktualisiert
 werden.  Kontext:  Anwendung, SystemIndex Katalog  Details:  Ein an das System angeschlossenes
 Gerät funktioniert nicht.   (0x8007001f) 
 
Error - 21.09.2010 17:33:02 | Computer Name = NAME-AD9EBC8FC7 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.09.2010 18:20:28 | Computer Name = NAME-AD9EBC8FC7 | Source = .NET Runtime Optimization Service | ID = 1101
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Failed to compile: System.Xml, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
 . Error code = 0x80070020  
 
Error - 21.09.2010 18:23:17 | Computer Name = NAME-AD9EBC8FC7 | Source = .NET Runtime Optimization Service | ID = 1101
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Failed to compile: PresentationCore, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35
 . Error code = 0x80070020  
 
Error - 22.09.2010 06:52:09 | Computer Name = NAME-AD9EBC8FC7 | Source = ESENT | ID = 490
Description = svchost (1304) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
[ OSession Events ]
Error - 03.08.2009 11:13:47 | Computer Name = NAME-AD9EBC8FC7 | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
 12.0.6316.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 7
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 14.08.2009 06:09:30 | Computer Name = NAME-AD9EBC8FC7 | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 12
 seconds with 0 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 23.09.2010 08:26:56 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Kingston DataTraveler 2.0 USB Device nicht laden.
 
Error - 23.09.2010 08:26:58 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Sony Sony DSC USB Device nicht laden.
 
Error - 23.09.2010 08:33:37 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Kingston DataTraveler 2.0 USB Device nicht laden.
 
Error - 23.09.2010 08:33:37 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Corsair Flash Voyager USB Device nicht laden.
 
Error - 23.09.2010 08:33:37 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Sony Sony DSC USB Device nicht laden.
 
Error - 23.09.2010 08:33:40 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Kingston DataTraveler 2.0 USB Device nicht laden.
 
Error - 23.09.2010 08:33:42 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Corsair Flash Voyager USB Device nicht laden.
 
Error - 23.09.2010 08:33:42 | Computer Name = NAME-AD9EBC8FC7 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Sony Sony DSC USB Device nicht laden.
 
Error - 23.09.2010 08:34:36 | Computer Name = NAME-AD9EBC8FC7 | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 23.09.2010 12:38:51 | Computer Name = NAME-AD9EBC8FC7 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst ICQ
 Service.
 
 
< End of report >

(wenn ich sehe, was da alles für Programme durchsucht wurden, ich glaube, ich habe demnächst mal einiges zu löschen^^)

cosinus · 23.09.2010, 19:44

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Tiuri · 23.09.2010, 20:56

Durchgeführt, aber wie schon zuvor gab es keinen Fund

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4676

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.09.2010 21:49:27
mbam-log-2010-09-23 (21-49-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 236502
Laufzeit: 56 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 23.09.2010, 21:16

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - AutoRun File - [1999.10.31 16:52:26 | 000,126,976 | R--- | M] (Impressions Games) - D:\autorun.exe -- [ CDFS ]
O32 - AutoRun File - [1999.10.31 16:56:48 | 000,000,339 | R--- | M] () - D:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\Shell - "" = AutoRun
O33 - MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\AutoRun\command - "" = E:\kazna\tujeled.exe -- File not found
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\explore\command - "" = E:\kazna\\tujeled.exe -- File not found
O33 - MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\Shell\open\command - "" = E:\kazna\\tujeled.exe -- File not found
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\User\Desktop\cleanup.exe:SummaryInformation
@Alternate Data Stream - 138 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Tiuri · 23.09.2010, 21:47

Code:

ATTFilter

All processes killed
========== OTL ==========
File move failed. D:\autorun.exe scheduled to be moved on reboot.
File move failed. D:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b5ea9fdc-3405-11df-9773-000fb5986617}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b5ea9fdc-3405-11df-9773-000fb5986617}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b5ea9fdc-3405-11df-9773-000fb5986617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b5ea9fdc-3405-11df-9773-000fb5986617}\ not found.
File E:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
File E:\kazna\tujeled.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
File E:\kazna\\tujeled.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c218b278-a39a-11df-9880-000fb5986617}\ not found.
File E:\kazna\\tujeled.exe not found.
Unable to delete ADS C:\Dokumente und Einstellungen\User\Desktop\cleanup.exe:SummaryInformation .
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84 deleted successfully.
Unable to delete ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 .
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: User
->Temp folder emptied: 639886 bytes
->Temporary Internet Files folder emptied: 873820 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 8845581 bytes
->Flash cache emptied: 456 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 10,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 09232010_223334

Files\Folders moved on Reboot...
File move failed. D:\autorun.exe scheduled to be moved on reboot.
File move failed. D:\autorun.inf scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus · 23.09.2010, 21:53

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Tiuri · 23.09.2010, 22:50

Auch dieser Schritt ist beendet. Kommt es mir nur so vor, oder wird immer nur Laufwerk C durchsucht/bearbeitet? Eigentlich sollten gerade die anderen Laufwerke, also die angeschlossenen Geräte, "befreit" werden.

Code:

ATTFilter

ComboFix 10-09-23.01 - User 23.09.2010  23:41:52.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2038.1412 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\config.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-23 bis 2010-09-23  ))))))))))))))))))))))))))))))
.

2010-09-23 21:34 . 2010-09-23 21:35    --------    d-----w-    C:\Registry
2010-09-23 21:29 . 2010-09-23 21:29    --------    d-----w-    c:\programme\CCleaner
2010-09-23 20:23 . 2010-09-23 20:23    --------    d-----w-    C:\_OTL
2010-09-22 12:05 . 2010-09-22 12:05    --------    d-----w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2010-09-22 12:05 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-22 12:05 . 2010-09-22 12:05    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-22 12:05 . 2010-09-22 12:05    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-22 12:05 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-22 11:24 . 2010-09-23 12:34    --------    d-----w-    c:\windows\system32\NtmsData
2010-09-22 11:15 . 2010-09-22 11:15    --------    d-----w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Avira
2010-09-21 22:03 . 2010-06-24 12:21    743424    -c----w-    c:\windows\system32\dllcache\iedvtool.dll
2010-09-21 21:53 . 2010-02-12 10:03    293376    ------w-    c:\windows\system32\browserchoice.exe
2010-09-21 21:22 . 2010-09-21 21:48    --------    d-----w-    c:\programme\ICQ7.2
2010-09-21 21:05 . 2010-09-21 22:52    --------    d-----w-    c:\dokumente und einstellungen\User\Tracing
2010-09-21 21:04 . 2010-09-21 21:04    --------    d-----w-    c:\programme\Microsoft
2010-09-21 21:04 . 2010-09-21 21:04    --------    d-----w-    c:\programme\Windows Live SkyDrive
2010-09-21 21:04 . 2010-09-21 21:04    --------    d-----w-    c:\programme\Windows Live
2010-09-21 20:57 . 2010-09-21 20:57    --------    d-----w-    c:\programme\Gemeinsame Dateien\Windows Live
2010-09-21 20:53 . 2010-09-21 20:53    --------    d-----w-    c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\AOL
2010-09-21 20:38 . 2010-09-21 20:38    --------    d-----w-    c:\programme\Secunia
2010-09-21 20:37 . 2010-09-21 20:37    --------    d-----w-    c:\programme\FileHippo.com
2010-09-08 21:39 . 2010-09-08 21:48    --------    d-----w-    c:\dokumente und einstellungen\User\.jenny
2010-09-07 22:33 . 2010-09-07 22:33    57344    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-09-07 22:28 . 2010-09-07 22:28    144696    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-07 22:28 . 2010-09-07 22:32    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-23 21:38 . 2009-03-02 18:43    --------    d---a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-09-23 21:37 . 2009-03-02 18:42    --------    d-----w-    c:\programme\Spyware Doctor
2010-09-23 20:41 . 2009-06-23 23:34    --------    d-----w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox
2010-09-23 20:23 . 2009-02-13 15:37    91106    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-23 20:23 . 2009-02-13 15:37    477060    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-22 10:57 . 2010-09-07 22:32    --------    d-----w-    c:\dokumente und einstellungen\User\Anwendungsdaten\DivX
2010-09-21 22:51 . 2009-03-04 12:06    --------    d-----w-    c:\dokumente und einstellungen\User\Anwendungsdaten\ICQ
2010-09-21 22:38 . 2009-02-13 16:07    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-09-21 21:37 . 2009-03-04 12:06    --------    d-----w-    c:\programme\ICQ6Toolbar
2010-09-21 21:25 . 2009-02-13 16:43    --------    d-----w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Nero
2010-09-21 21:24 . 2009-03-04 12:06    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-09-21 21:15 . 2009-02-13 16:41    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2010-09-21 21:15 . 2009-02-13 16:41    --------    d-----w-    c:\programme\Nero
2010-09-21 21:15 . 2009-02-13 16:41    --------    d-----w-    c:\programme\Gemeinsame Dateien\Nero
2010-09-21 21:10 . 2009-02-13 16:16    --------    d-----w-    c:\programme\Microsoft Silverlight
2010-09-21 21:09 . 2009-09-05 10:23    --------    d-----w-    c:\programme\mIRC
2010-09-21 20:54 . 2009-02-13 15:47    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-08-17 13:17 . 2009-02-13 15:37    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-16 15:00 . 2010-08-16 15:00    --------    d-----w-    c:\programme\Sierra On-Line
2010-08-12 04:07 . 2010-09-07 22:32    9200    ------w-    c:\windows\system32\drivers\cdralw2k.sys
2010-08-12 04:07 . 2010-09-07 22:32    9072    ------w-    c:\windows\system32\drivers\cdr4_xp.sys
2010-08-12 04:07 . 2010-09-07 22:32    45648    ------w-    c:\windows\system32\drivers\PxHelp20.sys
2010-08-12 04:07 . 2010-09-07 22:32    133616    ------w-    c:\windows\system32\pxafs.dll
2010-08-12 04:07 . 2010-09-07 22:32    126448    ------w-    c:\windows\system32\pxinsi64.exe
2010-08-12 04:07 . 2010-09-07 22:32    123888    ------w-    c:\windows\system32\pxcpyi64.exe
2010-08-09 09:38 . 2010-08-09 09:38    503808    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-23c36076-n\msvcp71.dll
2010-08-09 09:38 . 2010-08-09 09:38    499712    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-23c36076-n\jmc.dll
2010-08-09 09:38 . 2010-08-09 09:38    348160    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-23c36076-n\msvcr71.dll
2010-08-09 09:38 . 2010-08-09 09:38    61440    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3bc10dae-n\decora-sse.dll
2010-08-09 09:38 . 2010-08-09 09:38    12800    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3bc10dae-n\decora-d3d.dll
2010-07-27 23:55 . 2010-07-27 23:55    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-07-27 23:55 . 2009-03-29 10:30    --------    d-----w-    c:\programme\Java
2010-07-27 23:26 . 2010-07-27 23:25    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-07-23 10:13 . 2009-02-13 16:32    76888    ----a-w-    c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-22 15:48 . 2009-02-13 15:37    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-21 20:40 . 2009-12-10 23:02    767928    ----a-w-    c:\windows\BDTSupport.dll
2010-07-17 03:00 . 2010-07-15 12:20    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-07-15 01:51 . 2009-12-10 23:02    149456    ----a-w-    c:\windows\SGDetectionTool.dll
2010-07-15 01:51 . 2009-12-10 23:02    264144    ----a-w-    c:\windows\PCTBDRes.dll
2010-07-15 01:51 . 2009-12-10 23:02    1435600    ----a-w-    c:\windows\PCTBDCore.dll
2010-06-30 12:28 . 2009-02-13 15:37    149504    ----a-w-    c:\windows\system32\schannel.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19    94208    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19    94208    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19    94208    ----a-w-    c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]
"FileHippo.com"="c:\programme\FileHippo.com\UpdateChecker.exe" [2010-08-09 248832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-08 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-08 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-08 131072]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2008-03-21 91432]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2010-05-27 1287120]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]
LaunchU3.exe.lnk - c:\dokumente und einstellungen\User\Anwendungsdaten\Microsoft\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe [2010-3-20 22486]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2010-5-28 911920]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
NETGEAR WG111T Smart Wizard.lnk - c:\programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe [2009-2-24 491609]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Print Server Utilities\\NPUtil.exe"=
"c:\\Dokumente und Einstellungen\\User\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Sierra\\Empire Earth\\Empire Earth.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [09.05.2009 14:49 218592]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\programme\CyberLink\PowerDVD8\000.fcl [01.02.2008 18:24 41456]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.03.2010 00:28 135336]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [11.12.2009 01:02 198608]
R2 NAUpdate;@c:\programme\Nero\Update\NASvc.exe,-200;c:\programme\Nero\Update\NASvc.exe [04.05.2010 12:07 503080]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [20.05.2010 18:58 366840]
R3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.sys [24.02.2009 14:53 17149]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [28.05.2010 13:04 14896]
S2 gupdate1c9cc426bf1573a;Google Update Service (gupdate1c9cc426bf1573a);c:\programme\Google\Update\GoogleUpdate.exe [04.05.2009 00:56 133104]
S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [04.03.2009 14:06 246520]
S3 ATHFMWDL;NETGEAR WG111T Bootloader driver;c:\windows\system32\drivers\Athfmwdl.sys [24.02.2009 16:01 43392]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HTTPFILTER
.
Inhalt des "geplante Tasks" Ordners

2010-09-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 22:56]

2010-09-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 22:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://svbockenem.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - component: c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\r29vm9bs.default\extensions\lazarus@interclue.com\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-23 23:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\ActiveX Compatibility\{0E24*27B-DF2A-40EB-980B-A819F5FF3DD0}]
"Compatibility Flags"=dword:00000400
"Pst"=dword:00000002

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\ActiveX Compatibility\{754F*7D8-B8FE-4810-B363-A788CD060F1F}]
"Compatibility Flags"=dword:00000400
"Pst"=dword:00000002

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\ActiveX Compatibility\{90D6*900-2967-4DEC-9E8B-109C4EF77B4D}]
"Compatibility Flags"=dword:00000400
"Pst"=dword:00000002

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\ActiveX Compatibility\{E58E*77D-12B0-48E7-82B6-390F4E98D375}]
"Compatibility Flags"=dword:00000400
"Pst"=dword:00000002
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(920)
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
.
Zeit der Fertigstellung: 2010-09-23  23:45:56
ComboFix-quarantined-files.txt  2010-09-23 21:45

Vor Suchlauf: 18 Verzeichnis(se), 285.226.004.480 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 285.188.710.400 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 14E137A77760D16F2DBA7EA04CEE19BC

cosinus · 24.09.2010, 10:47

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Tiuri · 24.09.2010, 13:47

Ich hoffe, es ist richtig, dass GMER zwei Stunden zum Arbeiten braucht und dann nur diesen zehn-Zeiler als Report rausgibt.

Zitat:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-09-24 14:15:54
Windows 5.1.2600 Service Pack 3
Running: 97rjux3t.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\awqdapob.sys

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hier haben wir OSAM

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:35:01 on 24.09.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~2\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v2.3.1.10" (MDC8021X) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\mdc8021x.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"DNINDIS5 NDIS Protocol Driver" (DNINDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\system32\DNINDIS5.SYS
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"IEEE-1284.4 Driver HPZid412" (HPZid412) - "HP" - C:\WINDOWS\System32\DRIVERS\HPZid412.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"NETGEAR WG111T Bootloader driver" (ATHFMWDL) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\Drivers\ATHFMWDL.sys
"NETGEAR WG111T USB2.0 Wireless Card Service" (AR5523) - "NETGEAR, Inc." - C:\WINDOWS\System32\DRIVERS\wg11tnd5.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PCTools KDS" (PCTCore) - "PC Tools" - C:\WINDOWS\System32\drivers\PCTCore.sys
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Print Class Driver for IEEE-1284.4 HPZipr12" (HPZipr12) - "HP" - C:\WINDOWS\System32\DRIVERS\HPZipr12.sys
"PSI" (PSI) - "Secunia" - C:\WINDOWS\System32\DRIVERS\psi_mf.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"USB to IEEE-1284.4 Translation Driver HPZius12" (HPZius12) - "HP" - C:\WINDOWS\System32\DRIVERS\HPZius12.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}" ({FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}) - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD8\000.fcl

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)
{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)
{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "PC Tools Browser Guard" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "MUWebControl Class" - "Microsoft Corporation" - C:\WINDOWS\system32\muweb.dll / hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1285105357296
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
{472734EA-242A-422B-ADF8-83D1E48CC825} "PC Tools Browser Guard" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{2A0F3D1B-0909-4FF4-B272-609CCE6054E7} "PC Tools Browser Guard BHO" - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Sign-in Helper" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"NETGEAR WG111T Smart Wizard.lnk" - "NETGEAR" - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\desktop.ini
"Dropbox.lnk" - ? - C:\Dokumente und Einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe  (Shortcut exists | File exists)
"LaunchU3.exe.lnk" - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe  (Shortcut exists | File exists)
"Secunia PSI.lnk" - "Secunia" - C:\Programme\Secunia\PSI\psi.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
"FileHippo.com" - "FileHippo.com" - "C:\Programme\FileHippo.com\UpdateChecker.exe" /background
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"BDRegion" - "cyberlink" - C:\Programme\Cyberlink\Shared Files\brs.exe
"CanonMyPrinter" - "CANON INC." - C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"GrooveMonitor" - "Microsoft Corporation" - "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"ISTray" - "PC Tools" - "C:\Programme\Spyware Doctor\pctsTray.exe"
"NBKeyScan" - "Nero AG" - "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"PDVD8LanguageShortcut" - ? - C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
"RemoteControl8" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"avm:" - "AVM Berlin GmbH" - C:\WINDOWS\system32\avmprmon.dll
"PCL Language Monitor" - "Hewlett-Packard Company" - C:\WINDOWS\system32\hpz3l3xu.dll
"PrintServer Network Port" - "Edimax Technology Co., LTD" - C:\WINDOWS\system32\PSNT.DLL
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"@C:\Programme\Nero\Update\NASvc.exe,-200" (NAUpdate) - "Nero AG" - C:\Programme\Nero\Update\NASvc.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Browser Defender Update Service" (Browser Defender Update Service) - "Threat Expert Ltd." - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
"Google Update Service (gupdate1c9cc426bf1573a)" (gupdate1c9cc426bf1573a) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
"Nero BackItUp Scheduler 3" (Nero BackItUp Scheduler 3) - "Nero AG" - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PC Tools Auxiliary Service" (sdAuxService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsAuxs.exe
"PC Tools Security Service" (sdCoreService) - "PC Tools" - C:\Programme\Spyware Doctor\pctsSvc.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"PCTOOLS CONTENT FILTER PROVIDER" - "PC Tools Research Pty Ltd." - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Und zu guter Letzt den bootkit remover. Da bin ich mir nicht sicher, ob ich das richtig gemacht habe, ein Ergebnis kam trotzdem.

Zitat:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`007d8200
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...

cosinus · 24.09.2010, 14:11

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Tiuri · 24.09.2010, 14:14

Auch das wäre erledigt

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:            
Windows Version:        Windows XP Home Edition
Windows Information:        Service Pack 3 (build 2600)
Logical Drives Mask:        0x0000003d

Kernel Drivers (total 119):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x80700000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF75A7000 ACPI.sys
  0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF7596000 pci.sys
  0xF75F7000 isapnp.sys
  0xF74D6000 fltMgr.sys
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7607000 MountMgr.sys
  0xF74B7000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF7617000 VolSnap.sys
  0xF749F000 atapi.sys
  0xF7627000 disk.sys
  0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF748D000 sr.sys
  0xF7454000 PCTCore.sys
  0xF7647000 PxHelp20.sys
  0xF743D000 KSecDD.sys
  0xF7B52000 Ntfs.sys
  0xF7410000 NDIS.sys
  0xF787D000 Mup.sys
  0xBA730000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB9629000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
  0xB9615000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB95ED000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB95D3000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
  0xF77FF000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB95AF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7807000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF780F000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xB959B000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA720000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7817000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF781F000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA710000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA7E8000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB9D41000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB9D31000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xB9D21000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9578000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7AAD000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB9D11000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBA7E0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB9561000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xB9D01000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xB9CF1000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF774F000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB9550000 \SystemRoot\system32\DRIVERS\psched.sys
  0xB9CE1000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7757000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF775F000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB9CD1000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF79B9000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB94A2000 \SystemRoot\system32\DRIVERS\update.sys
  0xBA7D0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB9CC1000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xA8EE5000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xA8EC1000 \SystemRoot\system32\drivers\portcls.sys
  0xF7677000 \SystemRoot\system32\drivers\drmk.sys
  0xF7687000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF79BD000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF776F000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xF79BF000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xA8E93000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79C1000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF777F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF7787000 \SystemRoot\System32\drivers\vga.sys
  0xF79C3000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79C5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF778F000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7797000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7947000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xA8E52000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xA8DF9000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xA8DA9000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xA8D83000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF76A7000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBA7F4000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xA8D61000 \SystemRoot\System32\drivers\afd.sys
  0xF76B7000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF779F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xA8D36000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xA8CC6000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF76C7000 \SystemRoot\System32\Drivers\Fips.SYS
  0xA8C04000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF77A7000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF79C9000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xA8BAE000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xF76F7000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA8B96000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79CB000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xA8E99000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF77B7000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7A98000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF024000 \SystemRoot\System32\igxpgd32.dll
  0xBF012000 \SystemRoot\System32\igxprd32.dll
  0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
  0xBF26A000 \SystemRoot\System32\igxpdx32.DLL
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xA8A41000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xA8A62000 \SystemRoot\system32\DRIVERS\mdc8021x.sys
  0xA8A56000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA87BC000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xA877F000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA8929000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA7FA8000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA7E4B000 \??\C:\Programme\CyberLink\PowerDVD8\000.fcl
  0xA78BE000 \SystemRoot\System32\Drivers\HTTP.sys
  0xA7568000 \SystemRoot\system32\DRIVERS\wg11tnd5.sys
  0xA80DF000 \??\C:\WINDOWS\system32\DNINDIS5.SYS
  0xF79A5000 \SystemRoot\system32\DRIVERS\psi_mf.sys
  0xA72E5000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 59):
       0 System Idle Process
       4 System
     616 C:\WINDOWS\system32\smss.exe
     664 csrss.exe
     688 C:\WINDOWS\system32\winlogon.exe
     732 C:\WINDOWS\system32\services.exe
     744 C:\WINDOWS\system32\lsass.exe
     924 C:\WINDOWS\system32\svchost.exe
     992 svchost.exe
    1032 C:\WINDOWS\system32\svchost.exe
    1124 svchost.exe
    1152 svchost.exe
    1280 C:\WINDOWS\system32\spoolsv.exe
    1372 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1424 svchost.exe
    1572 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1688 C:\WINDOWS\explorer.exe
    1760 C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
    1776 C:\WINDOWS\system32\igfxtray.exe
    1788 C:\WINDOWS\system32\hkcmd.exe
    1796 C:\WINDOWS\system32\igfxpers.exe
    1804 C:\WINDOWS\RTHDCPL.exe
    1820 C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
    1864 C:\WINDOWS\system32\igfxsrvc.exe
    1888 C:\Programme\CyberLink\Shared Files\brs.exe
    1896 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    1904 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1964 C:\Programme\Spyware Doctor\pctsTray.exe
    2012 C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
    2024 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
     132 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
     156 C:\Programme\DivX\DivX Update\DivXUpdate.exe
     168 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
     184 C:\Programme\FileHippo.com\UpdateChecker.exe
     212 C:\WINDOWS\system32\ctfmon.exe
     248 C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
     320 C:\Programme\Windows Desktop Search\WindowsSearch.exe
     336 C:\Dokumente und Einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe
     360 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe
     440 C:\Programme\Secunia\PSI\psi.exe
    1908 C:\Programme\Java\jre6\bin\jqs.exe
    2056 C:\Programme\Nero\Update\NASvc.exe
    2096 C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    2148 C:\WINDOWS\system32\HPZipm12.exe
    2172 C:\Programme\Spyware Doctor\pctsAuxs.exe
    2196 C:\Programme\Spyware Doctor\pctsSvc.exe
    2260 C:\WINDOWS\system32\svchost.exe
    2356 C:\WINDOWS\system32\searchindexer.exe
    3296 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    3368 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
    3448 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3652 alg.exe
    2600 C:\Programme\Mozilla Firefox\firefox.exe
    1476 C:\Programme\Mozilla Firefox\plugin-container.exe
     640 C:\WINDOWS\system32\wuauclt.exe
    1440 <unknown>
    3316 C:\WINDOWS\system32\searchprotocolhost.exe
     512 searchfilterhost.exe
     644 C:\Dokumente und Einstellungen\User\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`007d8200  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD322HJ, Rev: 1AC01113

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus · 24.09.2010, 14:23

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Tiuri · 25.09.2010, 01:05

Malwarebytes hat was gefunden, AntiSpyware nichts. Der Fund ist in Laufwerk E, das ist ein USB-Stick.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4686

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.09.2010 23:20:48
mbam-log-2010-09-24 (23-20-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 227545
Laufzeit: 56 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\GOLAC\tornado.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 09/25/2010 bei 01:15 AM

Version der Applikation : 4.43.1000

Version der Kern-Datenbank : 5575
Version der Spur-Datenbank : 3387

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:16:35

Gescannte Speicherelemente  : 673
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 7655
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 79095
Erfasste Datei-Elemente   : 0

Nach dem Scan ploppte noch eine Nachricht von AntiSpyware auf, dass eine Datei auf Laufwerk E nicht geöffnet werden konnte und zwar genau diejenige, in der sich der Trojaner (oder was auch immer es ist) befindet. Leider konnte ich die Meldung nicht kopieren.

cosinus · 25.09.2010, 17:26

Zitat:

E:\GOLAC\tornado.exe

Was kannst Du zu dieser Datei sagen? Kennst Du die Datei?

Tiuri · 25.09.2010, 21:27

Ich habe keine Ahnung, was das sein soll. Habe mal gegoogelt und in zwei Virenforen gab es dazu auch schon Meldungen, wenn du die Sprache verstehst, kannst du dich vll. schlaumachen.

hxxp://virusinfo.info/showthread.php?t=87533 (4.Beitrag)
hxxp://216.246.91.178/~virusinf/showthread.php?p=706211

Dazu muss ich noch sagen, dass es so eine Datei auf dem Laufwerk nicht gibt, nur ein mir unbekanntes Textdokument mit Namen "Bootex", welches ich nicht kannte und es daher eben gelöscht habe. Scanns vor dem Löschen nur über das Laufwerk mit Avira und Malwarebytes haben nichts ergeben, komische Sache.

Schonmal ein großes

für deine flotte und kompetente Hilfe. Noch eine Frage, soll ich die ganzen installierten Programme von ComboFix bis Super AntiSpyware drauf lassen oder löschen?

23.09.2010, 19:44	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden Hallo und Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! __________________ __________________

24.09.2010, 14:23	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden