Google Seiten wurden umgeleitet -> Log-File Check

ovonwack · 24.09.2010, 11:02

Hallo zusammen,

ich hatte mir wohl ein Rootkit oder Trojaner eingefangen und habe nach den Tipps hier aus dem Board diverse Maßnahmen durchprobiert:
- AV 10 Scan und Fix
- Ad-Aware an und Fix
- Malwarebytes Anty-Malware Scan und Fix
- Hijack This Analysiert und einiges rausgeschmissen

Bei jedem Scan wurden mehrere Funde gemeldet, wobei es mir jedesmal gelang, diese auch zu löschen. Alle Scans melden nun keine Funde mehr. Es wäre nun phantastisch, wenn einer der Profis hier einen kurzen Blick auf mein HJT Log werfen könnte.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:57:12, on 24.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Hijack\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.heise.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*hxxp://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P40 "EPSON Stylus Photo R200 Series (Kopie 1)" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Client auf Monitor & öffnen1 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Client auf Monitor & öffnen2 - C:\WINDOWS\web\AOpenClient.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Der Dienst STI-Simulator gehört zu einer Webcam.
LVCOMS gehört zu meiner Logitech Webcam
Und ich lasse AntiVir und Ad-Aware parallel laufen. Habe seit dieser Infektion irgendwie Angst bekommen :-)

Vielen lieben Dank für Hilfe und Rat im Vorraus !

Herzliche Grüße
Olaf

cosinus · 24.09.2010, 11:16

Zitat:

- AV 10 Scan und Fix
- Ad-Aware an und Fix
- Malwarebytes Anty-Malware Scan und Fix
- Hijack This Analysiert und einiges rausgeschmisse

Dann bitte auch davon alle Logs posten!! Hijackthis ist sinnfrei!

ovonwack · 24.09.2010, 13:16

No Problem... mache ich gerne.
Scan-Settings habe ich rausgenommen, da sonst endlos lang.

Beginn mit Avira Gestern um 11:00 Uhr mit drei Funden

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. September 2010 11:09

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ovonwack

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 09:36:36
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 09:36:36
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:32:49
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:32:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:02:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 10:15:01
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:32:36
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:08:40
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 08:59:10
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:08:23
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 08:05:57
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 08:05:57
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 08:05:57
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 08:05:57
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 08:05:57
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 08:05:57
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 09:44:32
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 08:04:37
VBASE016.VDF : 7.10.11.232 2048 Bytes 21.09.2010 08:04:37
VBASE017.VDF : 7.10.11.233 2048 Bytes 21.09.2010 08:04:38
VBASE018.VDF : 7.10.11.234 2048 Bytes 21.09.2010 08:04:38
VBASE019.VDF : 7.10.11.235 2048 Bytes 21.09.2010 08:04:38
VBASE020.VDF : 7.10.11.236 2048 Bytes 21.09.2010 08:04:38
VBASE021.VDF : 7.10.11.237 2048 Bytes 21.09.2010 08:04:38
VBASE022.VDF : 7.10.11.238 2048 Bytes 21.09.2010 08:04:38
VBASE023.VDF : 7.10.11.239 2048 Bytes 21.09.2010 08:04:38
VBASE024.VDF : 7.10.11.240 2048 Bytes 21.09.2010 08:04:38
VBASE025.VDF : 7.10.11.241 2048 Bytes 21.09.2010 08:04:38
VBASE026.VDF : 7.10.11.242 2048 Bytes 21.09.2010 08:04:38
VBASE027.VDF : 7.10.11.243 2048 Bytes 21.09.2010 08:04:38
VBASE028.VDF : 7.10.11.244 2048 Bytes 21.09.2010 08:04:38
VBASE029.VDF : 7.10.11.245 2048 Bytes 21.09.2010 08:04:38
VBASE030.VDF : 7.10.11.246 2048 Bytes 21.09.2010 08:04:38
VBASE031.VDF : 7.10.12.1 116736 Bytes 22.09.2010 08:04:39
Engineversion : 8.2.4.60
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 10:31:46
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 19.09.2010 09:44:35
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 20:26:05
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 20:25:03
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 08:04:40
AEPACK.DLL : 8.2.3.7 471413 Bytes 19.09.2010 09:44:34
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:08:26
AEHEUR.DLL : 8.1.2.26 2916727 Bytes 19.09.2010 09:44:34
AEHELP.DLL : 8.1.13.3 242038 Bytes 29.08.2010 12:07:49
AEGEN.DLL : 8.1.3.22 401780 Bytes 19.09.2010 09:44:33
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 20:25:02
AECORE.DLL : 8.1.16.2 192887 Bytes 25.07.2010 16:08:25
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 20:25:02
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 09:36:36
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 09:36:36
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 09:36:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 09:36:36

Beginn des Suchlaufs: Donnerstag, 23. September 2010 11:09

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Sun\Java'
C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\2104d307-72b42c5b
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\2104d307-72b42c5b
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Donnerstag, 23. September 2010 11:11
Benötigte Zeit: 00:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

156 Verzeichnisse wurden überprüft
18096 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
18093 Dateien ohne Befall
131 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Hier der AdAware Scan von 15:00 Uhr. Gefunden und beseitigt wurde "Win32.Adware.Agent" und "Wub32.Backdoor.Papras/A".

Logfile created: 23.09.2010 14:48:17
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770

*********************** Definitions database information ***********************
Lavasoft definition file: 150.97
Genotype definition file version: 2010/09/21 06:44:54
Extended engine definition file: 6915.0

******************************** Scan results: *********************************
Scan profile name: Vollständiger Scan (ID: full)
Objects scanned: 107430
Objects detected: 2

Type Detected
==========================
Processes.......: 1
Registry entries: 0
Hostfile entries: 0
Files...........: 1
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0

Quarantined items:
Description: c:\windows\system32\dvdpgsvc.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Description: c:\dokumente und einstellungen\ovonwack\lokale einstellungen\temp\comver.dll Family Name: Win32.Adware.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 53 MD5: c5351ec4918e350125a1524f853d0a90

****************************** System information ******************************
Running processes:
PID: 400 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 464 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 496 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 544 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 556 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 780 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 796 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 856 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 924 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 988 name: C:\WINDOWS\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1076 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1116 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1168 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1284 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1328 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1388 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1484 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1500 name: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1532 name: C:\Programme\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1676 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1736 name: C:\WINDOWS\system32\PnkBstrA.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1764 name: C:\WINDOWS\system32\PnkBstrB.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1812 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1880 name: C:\WINDOWS\System32\PAStiSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1904 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1956 name: C:\WINDOWS\system32\wdfmgr.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 176 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1024 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2052 name: C:\WINDOWS\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2076 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2516 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 3100 name: C:\WINDOWS\Explorer.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3276 name: C:\WINDOWS\system32\nvraidservice.exe owner: ovonwack domain: NOBELHOBEL
PID: 3380 name: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3460 name: C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe owner: ovonwack domain: NOBELHOBEL
PID: 3488 name: C:\WINDOWS\SOUNDMAN.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3500 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: ovonwack domain: NOBELHOBEL
PID: 3660 name: C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE owner: ovonwack domain: NOBELHOBEL
PID: 3704 name: C:\WINDOWS\system32\ctfmon.exe owner: ovonwack domain: NOBELHOBEL
PID: 3744 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: ovonwack domain: NOBELHOBEL
PID: 2228 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 2232 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 772 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: ovonwack domain: NOBELHOBEL

Startup items:
Name: NVRaidService
imagepath: C:\WINDOWS\system32\nvraidservice.exe
Name: NeroFilterCheck
imagepath: C:\WINDOWS\system32\NeroCheck.exe
Name: LVCOMS
imagepath: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
Name: CTFMON.EXE
imagepath: C:\WINDOWS\System32\CTFMON.EXE
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
imagepath: C:\Programme\Microsoft Office\Office\OSA9.EXE

Bootexecute items:
Name:
imagepath: autocheck autochk *

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Apple Mobile Device
displayname: Apple Mobile Device
Name: Ati HotKey Poller
displayname: Ati HotKey Poller
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Bonjour Service
displayname: Bonjour-Dienst
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: HidServ
displayname: HID Input Service
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PnkBstrA
displayname: PnkBstrA
Name: PnkBstrB
displayname: PnkBstrB
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: SSHNAS
displayname: SSHNAS
Name: STI Simulator
displayname: STI Simulator
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UMWdf
displayname: Windows User Mode Driver Framework
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung

Dann nochmals ein Scan mit Avira um 15:20 Uhr mit wiederum drei Funden:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. September 2010 15:17

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 09:36:36
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 09:36:36
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:32:49
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:32:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:02:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 10:15:01
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:32:36
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:08:40
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 08:59:10
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:08:23
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 08:05:57
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 08:05:57
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 08:05:57
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 08:05:57
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 08:05:57
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 08:05:57
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 09:44:32
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 08:04:37
VBASE016.VDF : 7.10.11.232 2048 Bytes 21.09.2010 08:04:37
VBASE017.VDF : 7.10.11.233 2048 Bytes 21.09.2010 08:04:38
VBASE018.VDF : 7.10.11.234 2048 Bytes 21.09.2010 08:04:38
VBASE019.VDF : 7.10.11.235 2048 Bytes 21.09.2010 08:04:38
VBASE020.VDF : 7.10.11.236 2048 Bytes 21.09.2010 08:04:38
VBASE021.VDF : 7.10.11.237 2048 Bytes 21.09.2010 08:04:38
VBASE022.VDF : 7.10.11.238 2048 Bytes 21.09.2010 08:04:38
VBASE023.VDF : 7.10.11.239 2048 Bytes 21.09.2010 08:04:38
VBASE024.VDF : 7.10.11.240 2048 Bytes 21.09.2010 08:04:38
VBASE025.VDF : 7.10.11.241 2048 Bytes 21.09.2010 08:04:38
VBASE026.VDF : 7.10.11.242 2048 Bytes 21.09.2010 08:04:38
VBASE027.VDF : 7.10.11.243 2048 Bytes 21.09.2010 08:04:38
VBASE028.VDF : 7.10.11.244 2048 Bytes 21.09.2010 08:04:38
VBASE029.VDF : 7.10.11.245 2048 Bytes 21.09.2010 08:04:38
VBASE030.VDF : 7.10.11.246 2048 Bytes 21.09.2010 08:04:38
VBASE031.VDF : 7.10.12.1 116736 Bytes 22.09.2010 08:04:39
Engineversion : 8.2.4.60
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 10:31:46
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 19.09.2010 09:44:35
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 20:26:05
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 20:25:03
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 08:04:40
AEPACK.DLL : 8.2.3.7 471413 Bytes 19.09.2010 09:44:34
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:08:26
AEHEUR.DLL : 8.1.2.26 2916727 Bytes 19.09.2010 09:44:34
AEHELP.DLL : 8.1.13.3 242038 Bytes 29.08.2010 12:07:49
AEGEN.DLL : 8.1.3.22 401780 Bytes 19.09.2010 09:44:33
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 20:25:02
AECORE.DLL : 8.1.16.2 192887 Bytes 25.07.2010 16:08:25
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 20:25:02
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 09:36:36
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 09:36:36
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 09:36:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 09:36:36

Beginn des Suchlaufs: Donnerstag, 23. September 2010 15:17

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\e.exe'
C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\e.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f83f2c6.qua' verschoben!
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PRR7H94E\user15_an102[1].exe'
C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PRR7H94E\user15_an102[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5714dd26.qua' verschoben!
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\AcrA8E0.tmp'
C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Temp\AcrA8E0.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.CM
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '054687fe.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 23. September 2010 15:17
Benötigte Zeit: 00:19 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
44 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
41 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
3 Hinweise

Danach nochmal um 16:00 Uhr gescant und er hat 17 Cookies angemerkt, die ich komplet beseitigt habe. Keine weiteren Funde.

Logfile created: 23.09.2010 16:00:58
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: ovonwack

*********************** Definitions database information ***********************
Lavasoft definition file: 150.97
Genotype definition file version: 2010/09/21 06:44:54
Extended engine definition file: 6915.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 93177
Objects detected: 43

Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 43
Browser hijacks.: 0
MRU objects.....: 0

Removed items:
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409247 Family ID: 0
Description: *tradedoubler* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408964 Family ID: 0
Description: *2o7* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408943 Family ID: 0
Description: *ad.yieldmanager* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409172 Family ID: 0
Description: *adfarm1.adition* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409171 Family ID: 0
Description: *adserver* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408737 Family ID: 0
Description: *adserv* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408921 Family ID: 0
Description: *adserve* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409020 Family ID: 0
Description: *adtech* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409018 Family ID: 0
Description: *advertis* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408918 Family ID: 0
Description: *advertising* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409017 Family ID: 0
Description: *adviva* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409016 Family ID: 0
Description: *apmebf* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409163 Family ID: 0
Description: *.falkag* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409077 Family ID: 0
Description: *as1.falkag* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408913 Family ID: 0
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *bfast* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408907 Family ID: 0
Description: *bizrate.co* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409154 Family ID: 0
Description: *casalemedia* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409152 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408875 Family ID: 0
Description: *omniture* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408835 Family ID: 0
Description: *.stats.esomniture* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409181 Family ID: 0
Description: *hitbox* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408858 Family ID: 0
Description: *.hitbox* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409072 Family ID: 0
Description: *fastclick* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408869 Family ID: 0
Description: *.lycos* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408930 Family ID: 0
Description: *indextools* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409194 Family ID: 0
Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409247 Family ID: 0
Description: *estat* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408873 Family ID: 0
Description: *webtrends* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 599640 Family ID: 0
Description: *mediaplex* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408991 Family ID: 0
Description: *nextstat* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409229 Family ID: 0
Description: *serving-sys* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409130 Family ID: 0
Description: *statcounter* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409185 Family ID: 0
Description: *statse.webtrends* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408803 Family ID: 0
Description: *webtrendslive* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408954 Family ID: 0
Description: *.webtrendslive* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409033 Family ID: 0
Description: *statse.webtrendslive* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409269 Family ID: 0
Description: *tacoda* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409123 Family ID: 0
Description: *tribalfusion* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 408785 Family ID: 0
Description: *valueclick* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409175 Family ID: 0
Description: *.counter-gratis* Family Name: Cookies Engine: 1 Clean status: Failed Item ID: 409082 Family ID: 0

Scan and cleaning complete: Finished correctly after 601 seconds

****************************** System information ******************************
Running processes:
PID: 400 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 476 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 512 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 556 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 568 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 756 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 772 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 824 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 900 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 984 name: C:\WINDOWS\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1028 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1068 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1152 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1264 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1320 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1380 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1808 name: C:\WINDOWS\Explorer.EXE owner: ovonwack domain: NOBELHOBEL
PID: 1900 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1928 name: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1972 name: C:\Programme\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 192 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 316 name: C:\WINDOWS\system32\PnkBstrA.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 420 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 784 name: C:\WINDOWS\system32\PnkBstrB.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 956 name: C:\WINDOWS\System32\PAStiSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1176 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1104 name: C:\WINDOWS\system32\wdfmgr.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1688 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2092 name: C:\WINDOWS\system32\nvraidservice.exe owner: ovonwack domain: NOBELHOBEL
PID: 2140 name: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2192 name: C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe owner: ovonwack domain: NOBELHOBEL
PID: 2200 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2220 name: C:\WINDOWS\SOUNDMAN.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2232 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: ovonwack domain: NOBELHOBEL
PID: 2252 name: C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2284 name: C:\WINDOWS\system32\ctfmon.exe owner: ovonwack domain: NOBELHOBEL
PID: 2336 name: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe owner: ovonwack domain: NOBELHOBEL
PID: 2524 name: C:\WINDOWS\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2880 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3716 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 3724 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 1980 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: ovonwack domain: NOBELHOBEL
PID: 3464 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: ovonwack domain: NOBELHOBEL

Startup items:
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: NVRaidService
imagepath: C:\WINDOWS\system32\nvraidservice.exe
Name: NeroFilterCheck
imagepath: C:\WINDOWS\system32\NeroCheck.exe
Name: LVCOMS
imagepath: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
Name: CTFMON.EXE
imagepath: C:\WINDOWS\System32\CTFMON.EXE
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
imagepath: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
imagepath: C:\Programme\Microsoft Office\Office\OSA9.EXE

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Apple Mobile Device
displayname: Apple Mobile Device
Name: Ati HotKey Poller
displayname: Ati HotKey Poller
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Bonjour Service
displayname: Bonjour-Dienst
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: HidServ
displayname: HID Input Service
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PnkBstrA
displayname: PnkBstrA
Name: PnkBstrB
displayname: PnkBstrB
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: SSHNAS
displayname: SSHNAS
Name: STI Simulator
displayname: STI Simulator
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UMWdf
displayname: Windows User Mode Driver Framework
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung

Dann Scan mit Anti-Malware mit drei Funden:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4681

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.09.2010 11:26:15
mbam-log-2010-09-24 (11-26-15).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167555
Laufzeit: 6 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\3FWHZQA3LT (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Und nochmal ein abschließernder Scan zur Kontrolle:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4681

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.09.2010 11:40:01
mbam-log-2010-09-24 (11-40-01).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167690
Laufzeit: 7 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Danach wurden keine Google Ergebnisse mehr umgeleitet und ich habe das HJT Log oben erstellt.

Herzliche Grüße
Olaf

ovonwack · 24.09.2010, 13:18

Ergänzungen folgen....

Hier ein letzter, eben durchgeführter Scan von Ad-Aware ohne Funde:

Logfile created: 24.09.2010 14:17:37
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: ovonwack

*********************** Definitions database information ***********************
Lavasoft definition file: 150.97
Genotype definition file version: 2010/09/21 06:44:54
Extended engine definition file: 6915.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 92814
Objects detected: 0

Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0

Scan and cleaning complete: Finished correctly after 585 seconds

****************************** System information ******************************
Processor name: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Processor identifier: x86 Family 15 Model 35 Stepping 2
Processor speed: ~2216MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 15, processor revision 8962, number of processors 2, processor features: [MMX,SSE,SSE2,3DNow]
Physical memory available: 1355366400 bytes
Physical memory total: 2146934784 bytes
Virtual memory available: 1878257664 bytes
Virtual memory total: 2147352576 bytes
Memory load: 36%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:

Running processes:
PID: 412 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 480 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 512 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 556 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 568 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 744 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 764 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 824 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 900 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 988 name: C:\WINDOWS\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1032 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1072 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1156 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1272 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1320 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1396 name: C:\WINDOWS\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1812 name: C:\WINDOWS\Explorer.EXE owner: ovonwack domain: NOBELHOBEL
PID: 1988 name: C:\WINDOWS\system32\nvraidservice.exe owner: ovonwack domain: NOBELHOBEL
PID: 2004 name: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE owner: ovonwack domain: NOBELHOBEL
PID: 2044 name: C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe owner: ovonwack domain: NOBELHOBEL
PID: 164 name: C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE owner: ovonwack domain: NOBELHOBEL
PID: 176 name: C:\WINDOWS\SOUNDMAN.EXE owner: ovonwack domain: NOBELHOBEL
PID: 216 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: ovonwack domain: NOBELHOBEL
PID: 276 name: C:\WINDOWS\system32\ctfmon.exe owner: ovonwack domain: NOBELHOBEL
PID: 452 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 472 name: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 704 name: C:\Programme\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 928 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1232 name: C:\WINDOWS\system32\PnkBstrA.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1676 name: C:\WINDOWS\system32\PnkBstrB.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1716 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1124 name: C:\WINDOWS\System32\PAStiSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1940 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1980 name: C:\WINDOWS\system32\wdfmgr.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2540 name: C:\Programme\Mozilla Firefox\firefox.exe owner: ovonwack domain: NOBELHOBEL
PID: 2684 name: C:\WINDOWS\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2688 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3120 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3716 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 3724 name: C:\Programme\ATI Technologies\ATI.ACE\cli.exe owner: ovonwack domain: NOBELHOBEL
PID: 1620 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: ovonwack domain: NOBELHOBEL
PID: 2264 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: ovonwack domain: NOBELHOBEL

Startup items:
Name: NVRaidService
imagepath: C:\WINDOWS\system32\nvraidservice.exe
Name: NeroFilterCheck
imagepath: C:\WINDOWS\system32\NeroCheck.exe
Name: LVCOMS
imagepath: C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: CTFMON.EXE
imagepath: C:\WINDOWS\System32\CTFMON.EXE
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
imagepath: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
imagepath: C:\Programme\Microsoft Office\Office\OSA9.EXE

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Apple Mobile Device
displayname: Apple Mobile Device
Name: Ati HotKey Poller
displayname: Ati HotKey Poller
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Bonjour Service
displayname: Bonjour-Dienst
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: HidServ
displayname: HID Input Service
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PnkBstrA
displayname: PnkBstrA
Name: PnkBstrB
displayname: PnkBstrB
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: STI Simulator
displayname: STI Simulator
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UMWdf
displayname: Windows User Mode Driver Framework
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung

cosinus · 24.09.2010, 13:34

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

ovonwack · 24.09.2010, 14:49

HA... da hat Anti-Malware doch glatt noch was gefunden und beseitigt.

Hier das Anti-Malware Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4684

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.09.2010 15:43:22
mbam-log-2010-09-24 (15-43-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\)
Durchsuchte Objekte: 176048
Laufzeit: 1 Stunde(n), 1 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{3C57B769-1960-46BF-AAB7-84E64ADC63D0}\RP734\A0079534.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3C57B769-1960-46BF-AAB7-84E64ADC63D0}\RP734\A0079535.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

und hier das Log von OTL:

[CODE]
OTL EXTRAS Logfile:OTL Logfile:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 24.09.2010 15:45:31 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\ovonwack\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 53,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 73,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 4,95 Gb Free Space | 10,14% Space Free | Partition Type: NTFS
Drive D: | 184,06 Gb Total Space | 6,71 Gb Free Space | 3,65% Space Free | Partition Type: NTFS
Drive E: | 232,88 Gb Total Space | 136,14 Gb Free Space | 58,46% Space Free | Partition Type: NTFS
Drive F: | 4,09 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: NOBELHOBEL
Current User Name: ovonwack
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\ovonwack\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)
PRC - C:\WINDOWS\SoundMan.exe (Realtek Semiconductor Corp.)
PRC - C:\WINDOWS\system32\PAStiSvc.exe ()
PRC - C:\WINDOWS\system32\nvraidservice.exe (NVIDIA Corporation)
PRC - C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe (ATI Technologies Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVComS.exe (Logitech Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\ovonwack\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll (ATI Technologies Inc.)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (STI Simulator) -- C:\WINDOWS\system32\PAStiSvc.exe ()
SRV - (AdobeActiveFileMonitor) -- C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe ()
SRV - (PhotoshopElementsDeviceConnect) -- C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (Lavasoft Kernexplorer) -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys ()
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Technologies, Inc.)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (GcKernel) -- C:\WINDOWS\system32\drivers\gckernel.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (VMnetAdapter) -- C:\WINDOWS\system32\drivers\vmnetadapter.sys (VMware, Inc.)
DRV - (PAC7311) -- C:\WINDOWS\system32\drivers\PA707UCM.SYS (PixArt Imaging Inc.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (nvata) -- C:\WINDOWS\system32\DRIVERS\nvata.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (SSHDRV86) -- C:\WINDOWS\system32\drivers\SSHDRV86.sys ()
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (nvraid) NVIDIA nForce(tm) -- C:\WINDOWS\system32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nvatabus) -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (QCEmerald) Logitech QuickCam Web(PID_0850) -- C:\WINDOWS\system32\drivers\lvce.sys (Logitech Inc.)
DRV - (lusbaudio) -- C:\WINDOWS\system32\drivers\LVSound2.sys (Logitech Inc.)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (SWUSBFLT) -- C:\WINDOWS\system32\drivers\SWUSBFLT.SYS (Microsoft Corporation)
DRV - (HIDSwvd) -- C:\WINDOWS\system32\drivers\HIDSwvd.sys (Microsoft Corporation)
DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.heise.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.23 15:58:48 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.23 15:58:47 | 000,000,000 | ---D | M]
 
[2008.09.21 18:01:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Mozilla\Extensions
[2010.09.24 11:45:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Mozilla\Firefox\Profiles\uotpyfg7.default\extensions
[2009.10.07 20:59:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Mozilla\Firefox\Profiles\uotpyfg7.default\extensions\battlefieldheroespatcher@ea.com
[2010.09.23 17:15:03 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.06.28 15:03:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.15 11:55:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.14 23:32:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.14 23:32:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.14 23:32:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.14 23:32:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.14 23:32:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.03.26 13:20:43 | 000,000,847 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EPSON Stylus Photo R200 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVComS.exe (Logitech Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SoundMan.exe (Realtek Semiconductor Corp.)
O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Client auf Monitor & öffnen1 - C:\WINDOWS\Web\AOpenClient.htm ()
O8 - Extra context menu item: Client auf Monitor & öffnen2 - C:\WINDOWS\Web\AOpenClient.htm ()
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} hxxp://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab (Minesweeper Flags Class)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\yinsthelper.dll (YInstStarter Class)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} hxxp://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.1.87.cab (FilePlanet Download Control Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190309346296 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab (MessengerStatsClient Class)
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} hxxp://www.adultpark.de/vod/dmd/WMDownload.cab (InetDownload Class)
O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.10.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.03.25 22:39:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.02.15 04:20:36 | 000,000,045 | R--- | M] () - F:\Autorun.inf -- [ UDF ]
O33 - MountPoints2\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\Shell\AutoRun\command - "" = G:\.\MobilePraxis.exe -- File not found
O33 - MountPoints2\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\Shell\install\command - "" = G:\.\config\setup.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: coniinfo - (C:\WINDOWS\system32\dvdpgsvc.dll) - C:\WINDOWS\System32\dvdpgsvc.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.24 14:40:40 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ovonwack\Desktop\OTL.exe
[2010.09.24 11:17:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\Malwarebytes
[2010.09.24 11:17:35 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.24 11:17:33 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.24 11:17:33 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.09.24 11:17:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.23 17:07:03 | 000,000,000 | ---D | C] -- C:\Programme\Hijack
[2010.09.23 14:43:11 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.09.23 14:43:06 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.09.23 14:41:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2010.09.23 14:41:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
[2010.09.23 14:40:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.09.23 14:38:38 | 133,582,520 | ---- | C] (Lavasoft                                                                                                                                                                                                                                                                                                    ) -- C:\Dokumente und Einstellungen\ovonwack\Desktop\Ad-AwareInstall.exe
[2010.09.22 22:34:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.09.22 22:34:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\NeuroProgrammer3
[2010.09.22 22:34:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ovonwack\Eigene Dateien\Neuro-Programmer 3 Documents
[2010.09.22 22:34:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\XSxS
[2010.09.22 22:34:50 | 000,000,000 | ---D | C] -- C:\Programme\Xenocode
[2010.09.22 22:34:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\Xenocode
[2010.09.22 21:43:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\S.T.A.L.K.E.R. - Call Of Pripyat
[2010.09.22 21:42:54 | 064,396,480 | ---- | C] (Transparent Corporation                                     ) -- C:\Dokumente und Einstellungen\ovonwack\Desktop\NP3_Installer.exe
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.24 15:45:43 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\wyfuxew.sys
[2010.09.24 15:15:01 | 000,000,878 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.24 14:40:40 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ovonwack\Desktop\OTL.exe
[2010.09.24 14:17:32 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.09.24 13:53:15 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.24 13:52:50 | 000,000,874 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.24 13:52:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.24 13:52:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.24 12:07:57 | 010,485,760 | -H-- | M] () -- C:\Dokumente und Einstellungen\ovonwack\NTUSER.DAT
[2010.09.24 12:07:57 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\ovonwack\ntuser.ini
[2010.09.24 11:32:38 | 000,002,523 | ---- | M] () -- C:\Dokumente und Einstellungen\ovonwack\Desktop\HiJackThis.lnk
[2010.09.23 17:04:32 | 000,001,137 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.09.23 17:04:32 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.09.23 17:04:32 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.09.23 14:52:38 | 000,001,737 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
[2010.09.23 14:52:38 | 000,001,720 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 7.0.lnk
[2010.09.23 14:43:05 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.09.23 14:41:05 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.09.23 14:39:13 | 133,582,520 | ---- | M] (Lavasoft                                                                                                                                                                                                                                                                                                    ) -- C:\Dokumente und Einstellungen\ovonwack\Desktop\Ad-AwareInstall.exe
[2010.09.22 22:34:48 | 000,000,578 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Neuro-Programmer 3.lnk
[2010.09.22 21:46:26 | 000,000,830 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\S.T.A.L.K.E.R. - Call Of Pripyat.lnk
[2010.09.22 21:45:29 | 064,396,480 | ---- | M] (Transparent Corporation                                     ) -- C:\Dokumente und Einstellungen\ovonwack\Desktop\NP3_Installer.exe
[2010.09.22 16:32:39 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\ovonwack\Desktop\Bewerbungen.xls
[2010.09.16 15:43:04 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.09.12 16:07:09 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.09.12 16:07:08 | 000,018,432 | ---- | M] () -- C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.27 15:18:02 | 001,120,623 | ---- | M] () -- C:\Dokumente und Einstellungen\ovonwack\Desktop\Schaumann_Mängel_Fenster_Im_Grund_6.pdf
[2010.08.27 09:35:04 | 000,000,757 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.24 15:45:43 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\wyfuxew.sys
[2010.09.23 17:07:03 | 000,002,523 | ---- | C] () -- C:\Dokumente und Einstellungen\ovonwack\Desktop\HiJackThis.lnk
[2010.09.23 15:13:34 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.09.23 14:52:38 | 000,001,737 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
[2010.09.23 14:52:38 | 000,001,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 7.0.lnk
[2010.09.23 14:44:14 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.09.23 14:41:05 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.09.22 22:34:48 | 000,000,578 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Neuro-Programmer 3.lnk
[2010.09.22 21:46:26 | 000,000,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\S.T.A.L.K.E.R. - Call Of Pripyat.lnk
[2010.08.27 15:18:02 | 001,120,623 | ---- | C] () -- C:\Dokumente und Einstellungen\ovonwack\Desktop\Schaumann_Mängel_Fenster_Im_Grund_6.pdf
[2010.08.27 09:35:04 | 000,000,757 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk
[2010.05.16 13:07:33 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI
[2009.05.17 17:41:10 | 000,000,028 | ---- | C] () -- C:\WINDOWS\Systems.ini
[2008.03.09 21:33:48 | 000,000,104 | ---- | C] () -- C:\WINDOWS\RealFlight.INI
[2008.03.09 19:59:07 | 000,000,055 | ---- | C] () -- C:\WINDOWS\emug3.ini
[2008.03.09 19:56:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2007.12.23 19:22:08 | 000,000,125 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2007.11.17 19:18:07 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2007.11.17 19:18:07 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\ovonwack\Anwendungsdaten\PnkBstrK.sys
[2007.06.19 09:59:36 | 000,070,400 | ---- | C] () -- C:\WINDOWS\System32\PhysXLoader.dll
[2007.04.20 08:57:30 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2007.04.20 08:57:28 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2006.10.14 19:05:37 | 000,279,712 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2006.10.14 19:05:36 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2006.07.14 17:33:04 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll
[2006.06.23 11:49:30 | 000,003,171 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2006.03.26 13:23:31 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.03.12 18:06:48 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2006.01.29 16:59:12 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2005.12.04 14:43:27 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2005.11.28 21:09:47 | 000,000,774 | ---- | C] () -- C:\WINDOWS\avpr.ini
[2005.11.22 09:08:50 | 000,000,057 | ---- | C] () -- C:\WINDOWS\TUTORI~1.INI
[2005.11.22 08:43:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\plclient.INI
[2005.11.06 20:46:19 | 000,000,296 | ---- | C] () -- C:\WINDOWS\game.ini
[2005.11.01 12:30:29 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2005.10.16 22:18:29 | 000,000,315 | ---- | C] () -- C:\WINDOWS\doom3.ini
[2005.10.02 20:38:12 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
[2005.09.08 15:09:22 | 000,000,198 | ---- | C] () -- C:\WINDOWS\QTW.INI
[2005.06.05 20:44:16 | 000,185,344 | ---- | C] () -- C:\WINDOWS\patchw32.dll
[2005.04.29 16:24:27 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.04.26 12:04:51 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDER200Euro.ini
[2005.04.20 12:43:51 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\LVUI2RC.dll
[2005.03.27 18:37:53 | 000,081,408 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV86.sys
[2005.03.27 18:18:57 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.03.26 20:23:56 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2005.03.26 17:31:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\longfile.INI
[2005.03.26 17:31:33 | 001,371,436 | R--- | C] () -- C:\WINDOWS\System32\VBAR2132.DLL
[2005.03.26 17:30:42 | 000,000,122 | ---- | C] () -- C:\WINDOWS\texture.ini
[2005.03.26 17:29:11 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\scpext.dll
[2005.03.26 17:04:41 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.03.25 23:36:32 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.03.25 23:08:55 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2005.03.25 23:01:53 | 000,000,269 | R--- | C] () -- C:\WINDOWS\System32\raidmgmt.ini
[2005.03.25 23:01:30 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2005.03.25 23:01:30 | 000,005,396 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2005.03.25 23:01:28 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2003.12.09 19:33:00 | 000,060,416 | ---- | C] () -- C:\WINDOWS\System32\AKDLLib.dll
[2003.12.09 19:32:48 | 000,000,009 | ---- | C] () -- C:\WINDOWS\ShellHelper.INI
[2001.06.04 08:00:00 | 000,294,912 | ---- | C] () -- C:\WINDOWS\System32\midas.dll
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== Files - Unicode (All) ==========
[2006.02.19 21:42:37 | 001,253,027 | ---- | M] ()(C:\Dokumente und Einstellungen\ovonwack\Eigene Dateien\BeispSch?exTechn.pdf) -- C:\Dokumente und Einstellungen\ovonwack\Eigene Dateien\BeispSch�exTechn.pdf
[2006.02.19 21:42:25 | 001,253,027 | ---- | C] ()(C:\Dokumente und Einstellungen\ovonwack\Eigene Dateien\BeispSch?exTechn.pdf) -- C:\Dokumente und Einstellungen\ovonwack\Eigene Dateien\BeispSch�exTechn.pdf
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:157E1AD3
< End of report >

--- --- ---

--- --- ---

--- --- ---

Und hier die Extras.txt:

OTL Logfile:
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 24.09.2010 15:45:31 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\ovonwack\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 53,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 73,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 4,95 Gb Free Space | 10,14% Space Free | Partition Type: NTFS
Drive D: | 184,06 Gb Total Space | 6,71 Gb Free Space | 3,65% Space Free | Partition Type: NTFS
Drive E: | 232,88 Gb Total Space | 136,14 Gb Free Space | 58,46% Space Free | Partition Type: NTFS
Drive F: | 4,09 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: NOBELHOBEL
Current User Name: ovonwack
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\livecall.exe" = C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Games\Valve\Steam\Steam.exe" = D:\Games\Valve\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\Programme\NetMeeting\conf.exe" = C:\Programme\NetMeeting\conf.exe:*:Enabled:Windows® NetMeeting® -- (Microsoft Corporation)
"D:\Games\OperationFlashpoint\FLASHPOINTRESISTANCE.EXE" = D:\Games\OperationFlashpoint\FLASHPOINTRESISTANCE.EXE:*:Enabled:Operation Flashpoint -- ()
"D:\Games\Valve\Steam\SteamApps\war_lanfear\half-life 2 deathmatch\hl2.exe" = D:\Games\Valve\Steam\SteamApps\war_lanfear\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2 -- ()
"E:\Treiber und Tools\VNC\FastPush\vnc4\winvnc4.exe" = E:\Treiber und Tools\VNC\FastPush\vnc4\winvnc4.exe:*:Disabled:VNC Server for Win32 -- (RealVNC Ltd.)
"E:\Treiber und Tools\VNC\FastPush\tight128\winvnc.exe" = E:\Treiber und Tools\VNC\FastPush\tight128\winvnc.exe:*:Disabled:TightVNC Win32 Server -- (Constantin Kaplinsky)
"C:\WINDOWS\system32\ftp.exe" = C:\WINDOWS\system32\ftp.exe:*:Enabled:Programm zur Dateiübertragung -- (Microsoft Corporation)
"D:\Games\Lock On\LockOn.exe" = D:\Games\Lock On\LockOn.exe:*:Enabled:LOCK ON -- (Eagle Dynamics)
"D:\Games\GameSpy Arcade\Aphex.exe" = D:\Games\GameSpy Arcade\Aphex.exe:*:Enabled:GameSpy Arcade -- (IGN Entertainment, Inc.)
"D:\Games\Battlefield 2\BF2.exe" = D:\Games\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2 -- ()
"C:\Programme\WS_FTP\WS_FTP95.exe" = C:\Programme\WS_FTP\WS_FTP95.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA 02173)
"D:\Games\FEAR\fpupdate.exe" = D:\Games\FEAR\fpupdate.exe:*:Enabled:fpupdate -- ()
"D:\Games\Valve\Steam\SteamApps\war_lanfear\lostcoast\hl2.exe" = D:\Games\Valve\Steam\SteamApps\war_lanfear\lostcoast\hl2.exe:*:Enabled:hl2 -- ()
"F:\STEF\stvoyHM.exe" = F:\STEF\stvoyHM.exe:*:Enabled:stvoyHM -- File not found
"D:\Games\IL2 Sturmovik\il2.exe" = D:\Games\IL2 Sturmovik\il2.exe:*:Enabled:il2 -- ()
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite -- (ICQ Ltd.)
"C:\Programme\BitComet\BitComet.exe" = C:\Programme\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client -- (www.BitComet.com)
"C:\Programme\Filetopia3\Filetopia.exe" = C:\Programme\Filetopia3\Filetopia.exe:*:Enabled:Filetopia -- ()
"C:\Programme\Morpheus\Morpheus.exe" = C:\Programme\Morpheus\Morpheus.exe:*:Enabled:M5Shell -- (Streamcast Networks, Inc)
"C:\Programme\eMule\eMule.exe" = C:\Programme\eMule\eMule.exe:*:Enabled:eMule Plus -- (hxxp://emuleplus.info)
"D:\Games\Valve\Steam\SteamApps\war_lanfear\half-life 2\hl2.exe" = D:\Games\Valve\Steam\SteamApps\war_lanfear\half-life 2\hl2.exe:*:Enabled:hl2 -- ()
"D:\Games\Battlefield 2142\BF2142.exe" = D:\Games\Battlefield 2142\BF2142.exe:*:Enabled:Battlefield 2 -- ()
"D:\Games\ArmA\ARMA.EXE" = D:\Games\ArmA\ARMA.EXE:*:Enabled:ArmA -- (Bohemia Interactive)
"D:\Games\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe" = D:\Games\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI) -- ()
"D:\Games\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe" = D:\Games\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV) -- ()
"D:\Games\Serious Sam 2\Bin\Sam2.exe" = D:\Games\Serious Sam 2\Bin\Sam2.exe:*:Enabled:Sam2 -- ()
"D:\Games\Valve\Steam\SteamApps\war_lanfear\team fortress 2\hl2.exe" = D:\Games\Valve\Steam\SteamApps\war_lanfear\team fortress 2\hl2.exe:*:Enabled:hl2 -- ()
"C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe" = C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32 -- (Crytek GmbH)
"C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe" = C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32 -- (Crytek GmbH)
"D:\Games\ArmA\beta\arma.exe" = D:\Games\ArmA\beta\arma.exe:*:Enabled:ArmA -- (Bohemia Interactive)
"D:\Games\Ghost Recon Advanced Warfighter\GRAW.exe" = D:\Games\Ghost Recon Advanced Warfighter\GRAW.exe:*:Enabled:GRAW -- ()
"C:\Programme\TelWell\TelWell.exe" = C:\Programme\TelWell\TelWell.exe:*:Disabled:TelWell -- File not found
"C:\Programme\Yahoo!\Messenger\YServer.exe" = C:\Programme\Yahoo!\Messenger\YServer.exe:*:Disabled:Yahoo! FT Server -- (Yahoo! Inc.)
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" = C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Disabled:Yahoo! Messenger -- (Yahoo! Inc.)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"D:\Games\Medal of Honor Airborne\UnrealEngine3\Binaries\MOHA.exe" = D:\Games\Medal of Honor Airborne\UnrealEngine3\Binaries\MOHA.exe:*:Enabled:Medal of Honor Airborne -- (Electronic Arts Inc.)
"D:\Games\FEAR\FEAR.exe" = D:\Games\FEAR\FEAR.exe:*:Enabled:FEAR -- (Monolith Productions, Inc.)
"D:\Games\FEAR\FEARMP.exe" = D:\Games\FEAR\FEARMP.exe:*:Enabled:FEARMP -- (Monolith Productions, Inc.)
"D:\Games\FEAR\FEARXP\FEARXP.exe" = D:\Games\FEAR\FEARXP\FEARXP.exe:*:Enabled:FEARXP -- (Monolith Productions, Inc.)
"D:\Games\F.E.A.R. Mission Perseus\FEARXP2.exe" = D:\Games\F.E.A.R. Mission Perseus\FEARXP2.exe:*:Enabled:FEARXP2 -- (TimeGate Studios, Inc.)
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server -- (Microsoft Corporation)
"D:\Games\RealFlightG3\RealFlight.exe" = D:\Games\RealFlightG3\RealFlight.exe:*:Enabled:Radio Control Simulator -- (Knife Edge Software)
"G:\bin\t2wssh.exe" = G:\bin\t2wssh.exe:*:Disabled:t2wssh -- File not found
"C:\Programme\MSN Messenger\livecall.exe" = C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"D:\Games\HELI-X\Java\jre1.6.0_07\bin\java.exe" = D:\Games\HELI-X\Java\jre1.6.0_07\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- File not found
"D:\Games\Valve\Steam\SteamApps\war_lanfear\insurgency\hl2.exe" = D:\Games\Valve\Steam\SteamApps\war_lanfear\insurgency\hl2.exe:*:Enabled:hl2 -- ()
"D:\Games\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe" = D:\Games\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Clear Sky (CLI) -- ()
"D:\Games\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe" = D:\Games\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Clear Sky (SRV) -- ()
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"D:\Games\ArmA 2 Demo\ArmA2Demo.exe" = D:\Games\ArmA 2 Demo\ArmA2Demo.exe:*:Enabled:ArmA 2 Demo -- (Bohemia Interactive)
"D:\Games\Battlefield Bad Company 2\BFBC2Updater.exe" = D:\Games\Battlefield Bad Company 2\BFBC2Updater.exe:*:Enabled:Battlefield: Bad Company™ 2 -- (EA Digital Illusions CE AB)
"D:\Games\Battlefield Bad Company 2\BFBC2Game.exe" = D:\Games\Battlefield Bad Company 2\BFBC2Game.exe:*:Enabled:Battlefield: Bad Company™ 2 -- (EA Digital Illusions CE AB)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"E:\Games\ArmA 2 Operation Arrowhead DEMO\ArmA2OA_Demo.exe" = E:\Games\ArmA 2 Operation Arrowhead DEMO\ArmA2OA_Demo.exe:*:Enabled:ArmA 2 Operation Arrowhead DEMO -- (Bohemia Interactive)
"D:\Games\Valve\Steam\SteamApps\common\call of duty modern warfare 2\iw4mp.exe" = D:\Games\Valve\Steam\SteamApps\common\call of duty modern warfare 2\iw4mp.exe:*:Enabled:Call of Duty: Modern Warfare 2 - Multiplayer -- ()
"D:\Games\Valve\Steam\SteamApps\common\call of duty modern warfare 2\iw4sp.exe" = D:\Games\Valve\Steam\SteamApps\common\call of duty modern warfare 2\iw4sp.exe:*:Enabled:Call of Duty: Modern Warfare 2 -- ()
"E:\Games\Call of Duty 4 - Modern Warfare\iw3mp.exe" = E:\Games\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) -- ()
"E:\Games\S.T.A.L.K.E.R. - Call Of Pripyat\bin\xrEngine.exe" = E:\Games\S.T.A.L.K.E.R. - Call Of Pripyat\bin\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Call Of Pripyat (CLI) -- ()
"E:\Games\S.T.A.L.K.E.R. - Call Of Pripyat\bin\dedicated\xrEngine.exe" = E:\Games\S.T.A.L.K.E.R. - Call Of Pripyat\bin\dedicated\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Call Of Pripyat (SRV) -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{000E79B7-E725-4F01-870A-C12942B7F8E4}" = Crysis(R)
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam(TM)
"{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}" = Battlefield 2(TM)
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{083F79E4-6FE9-46FB-A6C6-4F8862742947}" = ATI HYDRAVISION
"{084A9731-D05B-4ADA-B4A0-0ADD25FD7152}" = Splinter Cell Pandora Tomorrow
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{11B0C10E-2E92-4733-9DED-705600018EC7}" = Adobe GoLive 5.0
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{162B71B8-8464-4680-A086-601D555B331D}" = Apple Mobile Device Support
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}" = Opera 10.00
"{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{25F28E39-FDBB-11DB-8314-0800200C9A66}" = Medal of Honor Airborne
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{2B653229-9854-4989-B780-D978F5F13EAB}" = FEAR
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{406FB8A4-F539-48A9-809C-F94706F9C9F6}_is1" = S.T.A.L.K.E.R. - Call Of Pripyat [v1.6.01]
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{44A537A5-859C-43A6-8285-C0668142A090}" = iPod for Windows 2005-03-23
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{48F234CD-6EB0-49D5-B9BE-602221AA9A7E}" = easyFly 2
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{50D4CB89-AF34-4978-96DC-C3034062E901}" = Battlefield 2: Special Forces
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = AsusUpdate
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{63C16E81-327C-49B6-9643-4F5EFD8A6B2D}" = winLAME 2010 beta 1
"{65F1CF63-31E0-450B-96F3-4A88BE7361A6}" = AGEIA PhysX v7.07.09
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}" = Battlefield 1942
"{7148F0A8-6813-11D6-A77B-00B0D0142060}" = Java 2 Runtime Environment, SE v1.4.2_06
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7353BAE6-5E49-46C4-A9B5-8A269A313789}" = Crysis WARHEAD(R)
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77E70C3C-DBB9-4C47-8663-1E1F81FEC623}" = Logitech QuickCam
"{7B63B2922B174135AFC0E1377DD81EC2}" = 
"{7B76034B-B3ED-46D5-8C66-DEB102CB830A}" = ATI Catalyst Control Center
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{851C67EF-068A-4060-9EF5-2E3DDCD68382}" = Adobe Photoshop Elements 3.0
"{8B3E5A90-1F6E-4FAF-B84F-C306C8A80809}" = AeroFly Professional Deluxe
"{8DC910CD-8EE3-4ffc-A4EB-9B02701059C4}" = Battlefield Heroes
"{909BBDB7-BABE-434C-9124-863A9F8D1CF8}" = FEAR Extraction Point
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{99889189-C739-4A46-BA02-3B271A118957}" = F.E.A.R. Mission Perseus
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A70900000002}" = Adobe Reader 7.0.9 - Deutsch
"{AEDDF5A3-29CE-11D5-A8C2-000102246AAE}" = ubi.com
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B3276CB1-20B6-4AF9-AAEC-E72C83816495}" = IKEA Home Planner
"{B73B4A99-4173-4747-BBEC-0F05E966F9D2}" = Battlefield 1942: Secret Weapons of WWII
"{B7886D87-ADA4-46A0-8A8D-02AB16B9F95A}" = Borland Delphi 6
"{B96DB037-DBEA-4186-9081-9CBD537F82E8}" = 3D-Viewer-innoPlus
"{BE7347AD-2D93-4A74-8DBF-C1B073DAE509}" = Geheimakte 2 - Puritas Cordis
"{C26B06A9-27BB-45B0-9873-9C623EC2BA38}" = iTunes
"{C2D129C0-7508-11DF-9F1B-005056806466}" = Google Earth
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D057AA08-8CBF-42E3-9EAB-23B8FED1C279}" = Battlefield 1942: The Road To Rome
"{D0A05794-48C2-4424-A15A-9F20FCFDD374}" = Call of Duty(R) 2
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D45EC259-4A19-4656-B588-C2C360DD18EA}" = Half-Life(R) 2
"{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}" = Far Cry
"{DDDD0C4B-57F7-4A85-ACF0-DB3FC8F1DBB4}" = Dragon NaturallySpeaking 8
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E280923D-C5D9-4728-8C79-AC9A0DC75875}" = BioShock
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E90DCEE9-DC27-401B-A7AC-B0AFF5B34E4D}" = Lock On: Modern Air Combat
"{ED50ECE9-EC54-4C05-B5ED-EE4741A9F2EC}" = Battlefield 2142
"{EEFB15EB-FE8B-47DF-A496-1C4D1420294A}" = Doom 3
"{EFC97089-04D6-42CE-A707-A343B4A7D2CD}" = Ghost Recon Advanced Warfighter
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F5577101-33CC-4711-8235-3A95BCD49DB0}" = EA Link
"{F6C4EE06-DA6D-45DC-A129-04166F5FF238}" = PC VGA Camera
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FF477885-5EA8-40D0-ADF3-D4C1B86FAEA4}" = EPSON Print CD
"3D Haus Design Studio_is1" = 3D Haus Design Studio - Professional Edition -
"AC3Filter_is1" = AC3Filter 1.63b
"Accent OFFICE Password Recovery" = Accent OFFICE Password Recovery 2.31
"Ad-Aware" = Ad-Aware
"Ad-Aware SE Personal" = Ad-Aware SE Personal
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AKInstaller3" = AKInstaller 3.0.110
"All ATI Software" = ATI - Software Uninstall Utility
"Any Video Converter_is1" = Any Video Converter 3.0.3
"ArmA" = ArmA Uninstall
"ARMA 2 Operation Arrowhead" = ARMA 2 Operation Arrowhead Uninstall
"ArmA Queen's Gambit" = ArmA Queen's Gambit Uninstall
"ArmA2 Demo" = ArmA2 Demo Uninstall
"ATI Display Driver" = ATI Display Driver
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.11 (Unicode)
"Audacity_is1" = Audacity 1.2.4
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BattlEye" = BattlEye Uninstall
"Biet-O-Matic v2.0.21" = Biet-O-Matic v2.0.21
"Biet-O-Matic v2.1.00" = Biet-O-Matic v2.1.00
"BitComet" = BitComet 0.64
"BPS CD Ripper/Grabber_is1" = BPS CD Ripper/Grabber 3.6.0.2
"BrothersInArms" = Brothers In Arms
"Corel Applications" = Corel Applications
"Crysis WARHEAD(R)" = Crysis WARHEAD(R)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"DVD Shrink_is1" = DVD Shrink 3.2
"eMule Plus_is1" = eMule Plus 1.2
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"FAKEFACTORY_Cinematic4.0" = FAKEFACTORY Cinematic Mod
"Filetopia Client v3.04d" = Filetopia Client v3.04d
"Flashpoint Resistance" = Flashpoint Resistance uninstall
"Free Video to MP3 Converter_is1" = Free Video to MP3 Converter version 3.2
"GameSpy Arcade" = GameSpy Arcade
"GS ShopBuilder" = GS ShopBuilder
"Half-Life 2 Awakening 1.1" = Half-Life 2 Awakening 1.1
"ICQLite" = ICQ 5.1
"ie8" = Windows Internet Explorer 8
"IL-2 Sturmovik" = IL-2 Sturmovik
"InstallShield_{44A537A5-859C-43A6-8285-C0668142A090}" = iPod for Windows 2005-03-23
"InstallShield_{D0A05794-48C2-4424-A15A-9F20FCFDD374}" = Call of Duty(R) 2
"InstallShield_{D2BBEABB-A8DF-4451-A7C4-63C87B31E325}" = IL-2 Sturmovik: Forgotten Battles AEP
"InstallShield_{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}" = Far Cry
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{EEFB15EB-FE8B-47DF-A496-1C4D1420294A}" = Doom 3
"InstallShield_{F5577101-33CC-4711-8235-3A95BCD49DB0}" = EA Link
"InstallShield_{F6C4EE06-DA6D-45DC-A129-04166F5FF238}" = PC VGA Camera
"InterBase" = InterBase
"Internet Print Service" = Internet Print Service 
"LAME for Audacity_is1" = LAME v3.98.2 for Audacity
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"MINERVA: Metastasis 2" = MINERVA: Metastasis 2
"Morpheus" = Morpheus 5.1 (remove only)
"Motherboard Monitor 5.0" = Motherboard Monitor 5.0
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NeroVision!UninstallKey" = Nero Digital
"Neuro-Programmer 3_is1" = Neuro-Programmer 3.0.3
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"Operation Flashpoint" = Operation Flashpoint uninstall
"Operation Flashpoint Gold Upgrade" = Operation Flashpoint Gold Upgrade uninstall
"Phun_is1" = Phun beta 3.0
"PunkBusterSvc" = PunkBuster Services
"RealFlightG3Pro" = RealFlight G3 R/C Simulator
"S.T.A.L.K.E.R. - Clear Sky_is1" = S.T.A.L.K.E.R. - Clear Sky
"S.T.A.L.K.E.R. - Shadow of Chernobyl_is1" = S.T.A.L.K.E.R. - Shadow of Chernobyl [v1.0004]
"SCHLECKER Foto-Digital-Service" = SCHLECKER Foto-Digital-Service
"SeriousSam2" = Serious Sam 2
"SimCity 3000" = SimCity 3000
"Steam" = Steam
"Steam App 10180" = Call of Duty: Modern Warfare 2
"Steam App 10190" = Call of Duty: Modern Warfare 2 - Multiplayer
"Steam App 215" = Source SDK Base
"Steam App 400" = Portal
"Steam App 420" = Half-Life 2: Episode Two
"Steam App 440" = Team Fortress 2
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.5
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR Archivierer
"Yahoo! Messenger" = Yahoo! Messenger
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.05.2010 01:17:06 | Computer Name = NOBELHOBEL | Source = ESENT | ID = 490
Description = svchost (888) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 07.05.2010 01:19:19 | Computer Name = NOBELHOBEL | Source = ESENT | ID = 490
Description = svchost (904) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 23.05.2010 15:31:03 | Computer Name = NOBELHOBEL | Source = ESENT | ID = 490
Description = svchost (896) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 11.07.2010 07:30:06 | Computer Name = NOBELHOBEL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 11.07.2010 07:30:06 | Computer Name = NOBELHOBEL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 12.07.2010 02:21:29 | Computer Name = NOBELHOBEL | Source = ESENT | ID = 490
Description = svchost (884) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 15.08.2010 10:35:51 | Computer Name = NOBELHOBEL | Source = Windows Live Messenger | ID = 1000
Description = 
 
Error - 23.09.2010 08:41:28 | Computer Name = NOBELHOBEL | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 23.09.2010 09:21:49 | Computer Name = NOBELHOBEL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 23.09.2010 09:21:49 | Computer Name = NOBELHOBEL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 22.09.2010 14:20:23 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
 
Error - 23.09.2010 03:13:36 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
 
Error - 23.09.2010 04:03:57 | Computer Name = NOBELHOBEL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "helpsvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {833E4010-AFF7-4AC3-AAC2-9F24C1457BCE}
 
Error - 23.09.2010 05:23:46 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
 
Error - 23.09.2010 08:46:19 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
 
Error - 23.09.2010 09:56:17 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
 
Error - 24.09.2010 05:03:45 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
 
Error - 24.09.2010 05:28:42 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
 
Error - 24.09.2010 05:29:06 | Computer Name = NOBELHOBEL | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   atapi  nvatabus  nvraid  PCIIde
 
Error - 24.09.2010 07:52:46 | Computer Name = NOBELHOBEL | Source = Print | ID = 23
Description = Der Drucker AlienTools PDF Generator konnte nicht initialisiert werden,
 da der Treiber AlienTools PDF Generator nicht gefunden wurde.
  
< End of report >

--- --- ---

--- --- ---

--- --- ---

ovonwack · 24.09.2010, 15:06

Nachtrag

Folgende Datei aus dem OTL Scan kam mir merkwürdig vor:
========== Files Created - No Company Name ==========
[2010.09.24 15:45:43 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\wyfuxew.sys

Datei existiert nicht. System- und versteckte Dateien werden im Explorer angezeigt.

cosinus · 25.09.2010, 13:20

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - AutoRun File - [2007.02.15 04:20:36 | 000,000,045 | R--- | M] () - F:\Autorun.inf -- [ UDF ]
O33 - MountPoints2\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\Shell\AutoRun\command - "" = G:\.\MobilePraxis.exe -- File not found
O33 - MountPoints2\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\Shell\install\command - "" = G:\.\config\setup.exe -- File not found
O36 - AppCertDlls: coniinfo - (C:\WINDOWS\system32\dvdpgsvc.dll) - C:\WINDOWS\System32\dvdpgsvc.dll File not found
[2010.09.24 15:45:43 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\wyfuxew.sys
@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:157E1AD3
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ovonwack · 26.09.2010, 12:55

Hallo Arne,

habe ich gemacht und hier ist das Log:

Code:

ATTFilter

All processes killed
========== OTL ==========
File F:\Autorun.inf not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\ not found.
File G:\.\MobilePraxis.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3740ab1f-6c7b-11dd-82c3-0011d8a29e73}\ not found.
File G:\.\config\setup.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\coniinfo:C:\WINDOWS\system32\dvdpgsvc.dll deleted successfully.
File C:\WINDOWS\System32\drivers\wyfuxew.sys not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:157E1AD3 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 3204277 bytes
->Temporary Internet Files folder emptied: 1016981 bytes
 
User: agerke
->Temp folder emptied: 1705745 bytes
->Temporary Internet Files folder emptied: 581883180 bytes
->Java cache emptied: 3575568 bytes
->FireFox cache emptied: 15910385 bytes
->Flash cache emptied: 4590 bytes
 
User: All Users
 
User: ATI
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ovonwack
->Temp folder emptied: 1903552391 bytes
->Temporary Internet Files folder emptied: 20827540 bytes
->Java cache emptied: 18816 bytes
->FireFox cache emptied: 92699820 bytes
->Google Chrome cache emptied: 49679060 bytes
->Opera cache emptied: 40154 bytes
->Flash cache emptied: 1439615 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1138980 bytes
%systemroot%\System32 .tmp files removed: 752519 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 88361792 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 2.638,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 09262010_134103

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 26.09.2010, 17:58

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ovonwack · 27.09.2010, 09:34

Hallo Arne,

CCleaner und ComboFix sind durch. Hier das Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-09-26.02 - ovonwack 27.09.2010  10:19:18.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1385 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ovonwack\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\agerke\Desktop\Internet Explorer.lnk

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-08-27 bis 2010-09-27  ))))))))))))))))))))))))))))))
.

2010-09-27 08:05 . 2010-09-27 08:05	--------	d-----w-	c:\programme\CCleaner
2010-09-26 11:41 . 2010-09-26 11:41	--------	d-----w-	C:\_OTL
2010-09-24 14:50 . 2010-09-24 14:50	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\NP3
2010-09-24 09:17 . 2010-09-24 09:17	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Malwarebytes
2010-09-24 09:17 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-24 09:17 . 2010-09-24 09:17	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-24 09:17 . 2010-09-24 09:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-24 09:17 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-23 15:07 . 2010-09-23 15:07	388096	----a-r-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-23 15:07 . 2010-09-23 15:07	--------	d-----w-	c:\programme\Hijack
2010-09-23 13:13 . 2010-08-12 12:15	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-09-23 12:43 . 2010-08-12 12:15	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2010-09-23 12:43 . 2010-09-23 12:43	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-09-23 12:41 . 2010-09-23 12:41	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-23 12:41 . 2010-09-23 12:41	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-23 12:41 . 2010-08-12 12:16	2979848	-c--a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-23 12:40 . 2010-09-23 12:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-09-22 20:34 . 2010-09-24 15:39	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-09-22 20:34 . 2010-09-22 20:49	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\NeuroProgrammer3
2010-09-22 20:34 . 2010-09-22 20:34	--------	d-----w-	c:\windows\XSxS
2010-09-22 20:34 . 2010-09-22 20:34	--------	d-----w-	c:\programme\Xenocode
2010-09-22 20:34 . 2010-09-22 20:34	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Lokale Einstellungen\Anwendungsdaten\Xenocode
2010-09-07 14:07 . 2010-09-07 14:07	61440	----a-w-	c:\dokumente und einstellungen\agerke\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7d865fb1-n\decora-sse.dll
2010-09-07 14:07 . 2010-09-07 14:07	503808	----a-w-	c:\dokumente und einstellungen\agerke\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25c007e4-n\msvcp71.dll
2010-09-07 14:07 . 2010-09-07 14:07	499712	----a-w-	c:\dokumente und einstellungen\agerke\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25c007e4-n\jmc.dll
2010-09-07 14:07 . 2010-09-07 14:07	348160	----a-w-	c:\dokumente und einstellungen\agerke\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25c007e4-n\msvcr71.dll
2010-09-07 14:07 . 2010-09-07 14:07	12800	----a-w-	c:\dokumente und einstellungen\agerke\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7d865fb1-n\decora-d3d.dll
2010-09-05 16:16 . 2010-09-05 16:16	56765	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-09-05 16:16 . 2010-09-05 16:16	53600	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-26 12:23 . 2007-11-17 17:17	218808	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-09-23 13:54 . 2010-03-15 18:09	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Orbit
2010-09-23 12:51 . 2006-01-29 12:48	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\AdobeUM
2010-09-23 12:40 . 2005-07-10 13:40	--------	d-----w-	c:\programme\Lavasoft
2010-09-23 10:47 . 2005-08-15 05:50	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Skype
2010-09-20 19:57 . 2010-04-12 07:28	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\vlc
2010-09-05 16:18 . 2010-06-24 11:17	57344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-09-05 16:16 . 2010-06-24 11:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-09-05 16:16 . 2009-04-05 19:09	--------	d-----w-	c:\programme\DivX
2010-09-05 16:16 . 2010-08-27 07:35	185640	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\finishPlugin.dll
2010-09-05 16:16 . 2010-08-27 07:34	144696	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-05 16:16 . 2010-06-24 11:17	1062184	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-09-05 16:16 . 2010-06-24 11:17	850200	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-08-27 07:35 . 2010-08-27 07:35	56997	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-08-27 07:35 . 2010-08-27 07:35	57691	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-08-27 07:34 . 2010-08-27 07:34	84063	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-08-27 07:34 . 2010-08-27 07:34	54153	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-08-24 19:04 . 2007-11-17 17:18	22328	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-08-24 19:04 . 2007-11-17 17:17	66872	----a-w-	c:\windows\system32\PnkBstrA.exe
2010-08-24 19:02 . 2007-11-17 17:18	22328	----a-w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\PnkBstrK.sys
2010-08-24 19:02 . 2007-11-17 17:18	22328	----a-w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\PnkBstrK.sys
2010-08-24 19:02 . 2005-03-25 21:11	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-18 09:41 . 2010-04-12 07:28	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\dvdcss
2010-08-17 13:17 . 2001-08-18 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-15 15:52 . 2009-01-30 20:31	--------	d-----w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Bioshock
2010-08-15 09:55 . 2005-03-26 17:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-08-15 09:55 . 2005-03-26 17:59	--------	d-----w-	c:\programme\Java
2010-08-03 09:13 . 2010-08-03 09:13	61440	----a-w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7b8be63e-n\decora-sse.dll
2010-08-03 09:13 . 2010-08-03 09:13	503808	----a-w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6f93229f-n\msvcp71.dll
2010-08-03 09:13 . 2010-08-03 09:13	499712	----a-w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6f93229f-n\jmc.dll
2010-08-03 09:13 . 2010-08-03 09:13	348160	----a-w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6f93229f-n\msvcr71.dll
2010-08-03 09:13 . 2010-08-03 09:13	12800	----a-w-	c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7b8be63e-n\decora-d3d.dll
2010-07-22 15:48 . 2001-08-18 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-07-19 19:13 . 2010-07-19 19:13	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-17 03:00 . 2010-06-28 13:03	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-07 09:07 . 2010-07-07 09:07	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-06-30 12:28 . 2001-08-18 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2009-02-24 19:34 . 2009-02-24 19:34	1044480	----a-w-	c:\programme\opera\program\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34	200704	----a-w-	c:\programme\opera\program\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-11-04 84480]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE" [2001-09-24 98304]
"EPSON Stylus Photo R200 Series (Kopie 1)"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE" [2003-09-11 99840]
"HydraVisionDesktopManager"="c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2003-09-15 270336]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-09-25 08:12	45056	----a-w-	c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-08-30 19:05	344064	----a-w-	c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-01 06:39	1164584	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
2006-12-14 11:28	2801664	----a-w-	c:\programme\Electronic Arts\EA Link\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
2006-07-11 10:15	3144800	----a-w-	c:\programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-03-12 19:56	342312	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18	413696	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-09-02 13:15	13351304	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2003-09-29 15:00	155648	----a-w-	c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-08-24 11:39	1242448	----a-w-	d:\games\Valve\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44	248552	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Games\\Valve\\Steam\\Steam.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"d:\\Games\\OperationFlashpoint\\FLASHPOINTRESISTANCE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"d:\\Games\\Valve\\Steam\\SteamApps\\war_lanfear\\half-life 2 deathmatch\\hl2.exe"=
"e:\\Treiber und Tools\\VNC\\FastPush\\vnc4\\winvnc4.exe"=
"e:\\Treiber und Tools\\VNC\\FastPush\\tight128\\winvnc.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"d:\\Games\\Lock On\\LockOn.exe"=
"d:\\Games\\GameSpy Arcade\\Aphex.exe"=
"d:\\Games\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"d:\\Games\\FEAR\\fpupdate.exe"=
"d:\\Games\\Valve\\Steam\\SteamApps\\war_lanfear\\lostcoast\\hl2.exe"=
"d:\\Games\\IL2 Sturmovik\\il2.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\BitComet\\BitComet.exe"=
"c:\\Programme\\Filetopia3\\Filetopia.exe"=
"c:\\Programme\\Morpheus\\Morpheus.exe"=
"c:\\Programme\\eMule\\eMule.exe"=
"d:\\Games\\Valve\\Steam\\SteamApps\\war_lanfear\\half-life 2\\hl2.exe"=
"d:\\Games\\Battlefield 2142\\BF2142.exe"=
"d:\\Games\\ArmA\\ARMA.EXE"=
"d:\\Games\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"d:\\Games\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"d:\\Games\\Serious Sam 2\\Bin\\Sam2.exe"=
"d:\\Games\\Valve\\Steam\\SteamApps\\war_lanfear\\team fortress 2\\hl2.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Games\\ArmA\\beta\\arma.exe"=
"d:\\Games\\Ghost Recon Advanced Warfighter\\GRAW.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Games\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=
"d:\\Games\\FEAR\\FEAR.exe"=
"d:\\Games\\FEAR\\FEARMP.exe"=
"d:\\Games\\FEAR\\FEARXP\\FEARXP.exe"=
"d:\\Games\\F.E.A.R. Mission Perseus\\FEARXP2.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"d:\\Games\\RealFlightG3\\RealFlight.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Games\\Valve\\Steam\\SteamApps\\war_lanfear\\insurgency\\hl2.exe"=
"d:\\Games\\S.T.A.L.K.E.R. - Clear Sky\\bin\\xrEngine.exe"=
"d:\\Games\\S.T.A.L.K.E.R. - Clear Sky\\bin\\dedicated\\xrEngine.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Games\\ArmA 2 Demo\\ArmA2Demo.exe"=
"d:\\Games\\Battlefield Bad Company 2\\BFBC2Updater.exe"=
"d:\\Games\\Battlefield Bad Company 2\\BFBC2Game.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Games\\ArmA 2 Operation Arrowhead DEMO\\ArmA2OA_Demo.exe"=
"d:\\Games\\Valve\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4mp.exe"=
"d:\\Games\\Valve\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4sp.exe"=
"e:\\Games\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"e:\\Games\\S.T.A.L.K.E.R. - Call Of Pripyat\\bin\\xrEngine.exe"=
"e:\\Games\\S.T.A.L.K.E.R. - Call Of Pripyat\\bin\\dedicated\\xrEngine.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [23.09.2010 14:43 64288]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [27.03.2005 18:37 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.03.2009 22:57 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1355928]
R3 QCEmerald;Logitech QuickCam Web(PID_0850);c:\windows\system32\drivers\lvce.sys [20.04.2005 12:43 44032]
R3 SWUSBFLT;Microsoft SideWinder VIA-Filtertreiber;c:\windows\system32\drivers\SWUSBFLT.SYS [05.06.2005 19:04 3968]
S2 gupdate1c9a994ae5bc3aa;Google Update Service (gupdate1c9a994ae5bc3aa);c:\programme\Google\Update\GoogleUpdate.exe [20.03.2009 21:47 133104]
S3 PAC7311;VGA SoC PC-Camera;c:\windows\system32\drivers\PA707UCM.SYS [18.10.2005 12:48 154752]
S4 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [12.10.2004 04:47 98304]
S4 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [12.10.2004 03:40 118784]
.
Inhalt des "geplante Tasks" Ordners

2010-09-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 12:43]

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-20 19:47]

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-20 19:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.heise.de/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*hxxp://de.search.yahoo.com
IE: Client auf Monitor & öffnen1 - c:\windows\web\AOpenClient.htm
IE: Client auf Monitor & öffnen2 - c:\windows\web\AOpenClient.htm
FF - ProfilePath - c:\dokumente und einstellungen\ovonwack\Anwendungsdaten\Mozilla\Firefox\Profiles\uotpyfg7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\progra~1\Yahoo!\Common\npyaxmpb.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\INNOVA-engineering GmbH\3D-Viewer-innoPlus\npIno3DViewer.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\npdrmv2.dll
FF - plugin: c:\programme\Opera\program\plugins\npIno3DViewer.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava11.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava12.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava13.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava14.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava32.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJPI142_06.dll
FF - plugin: c:\programme\Opera\program\plugins\NPOJI610.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-3FWHZQA3LT - c:\dokume~1\ovonwack\LOKALE~1\Temp\Ebd.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-27 10:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HydraVisionDesktopManager = c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe?\?A?T?I? ?H?Y?D?R?A?V?I?S?I?O?N?\?H?y?d?r?a?D?M?.?e?x?e?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1801674531-1645522239-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:84,1b,85,ef,b6,8d,bb,c8,39,22,b9,08,81,96,71,a6,bc,0f,ea,31,e2,cc,91,
   f4,ce,24,a6,41,8e,01,25,76,f0,da,93,3f,3c,99,2c,e3,08,89,7e,5f,da,48,61,41,\
"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b

[HKEY_USERS\S-1-5-21-1801674531-1645522239-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:70,71,69,95,93,dd,72,11,ce,b0,dc,1a,74,87,d4,d3,9e,86,42,b0,5f,
   93,8f,28,d1,c6,10,0f,d2,53,59,1e,5e,9e,8c,f8,eb,19,7c,d8,5e,cb,3f,df,43,7e,\
"rkeysecu"=hex:e5,61,a2,30,44,c4,3e,53,3a,00,69,71,45,f2,a1,dd
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(504)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll

- - - - - - - > 'explorer.exe'(552)
c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\SOUNDMAN.EXE
c:\windows\System32\wbem\unsecapp.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-27  10:29:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-27 08:29

Vor Suchlauf: 11 Verzeichnis(se), 11.581.218.816 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 11.454.070.784 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 4868D967966D5C439D015B9F8C23EF27

Avira Guard war definitiv während des CF Scans aus.

--- --- ---

cosinus · 27.09.2010, 12:19

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

ovonwack · 27.09.2010, 17:57

Hier das GMER-Log:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-27 18:29:42
Windows 5.1.2600 Service Pack 3
Running: 01rdr2zv.exe; Driver: C:\DOKUME~1\ovonwack\LOKALE~1\Temp\pwriauow.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT            A4A881CE                                    ZwCreateKey
SSDT            A4A881C4                                    ZwCreateThread
SSDT            A4A881D3                                    ZwDeleteKey
SSDT            A4A881DD                                    ZwDeleteValueKey
SSDT            A4A881E2                                    ZwLoadKey
SSDT            A4A881B0                                    ZwOpenProcess
SSDT            A4A881B5                                    ZwOpenThread
SSDT            A4A881EC                                    ZwReplaceKey
SSDT            A4A881E7                                    ZwRestoreKey
SSDT            A4A881D8                                    ZwSetValueKey
SSDT            A4A881BF                                    ZwTerminateProcess
 
---- Kernel code sections - GMER 1.0.15 ----
 
?               Combo-Fix.sys                               Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys    section is writeable [0xB84CA000, 0x22F0B7, 0xE8000020]
.text           C:\WINDOWS\system32\drivers\SSHDRV86.sys    section is writeable [0x978CE000, 0x26354, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\SSHDRV86.sys    entry point in ".pklstb" section [0x97903000]
.relo2          C:\WINDOWS\system32\drivers\SSHDRV86.sys    unknown last section [0x9791A000, 0x8E, 0x42000040]
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys      section is writeable [0x93B59300, 0x3AF78, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys      section is writeable [0xB5327300, 0x1BCE, 0xE8000020]
?               C:\DOKUME~1\ovonwack\LOKALE~1\Temp\mbr.sys  Das System kann die angegebene Datei nicht finden. !
?               C:\CoFi\catchme.sys                         Das System kann die angegebene Datei nicht finden. !
?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS  Das System kann die angegebene Datei nicht finden. !
 
---- Devices - GMER 1.0.15 ----
 
AttachedDevice  \Driver\Tcpip \Device\Tcp                   Lbd.sys (Boot Driver/Lavasoft AB)
 
Device          \Driver\nvata \Device\0000006b              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\NvAta0                sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\0000006d              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\NvAta1                sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\0000006f              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\NvAta2                sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
 
---- EOF - GMER 1.0.15 ----

--- --- ---

Hier das OSAM Log:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:48:07 on 27.09.2010
 
OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 
Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures
 
Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries
 
 
[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)
 
[Common]
-----( %SystemRoot%\Tasks )-----
"Ad-Aware Update (Weekly).job" - "Lavasoft                                                              " - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
 
[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"bdeadmin.cpl" - ? - C:\WINDOWS\system32\bdeadmin.cpl
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"PhysX.cpl" - ? - C:\WINDOWS\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
 
[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\CoFi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys
"giveio" (giveio) - ? - C:\WINDOWS\system32\giveio.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File found, but it contains no detailed information)
"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"nvatabus" (nvatabus) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nvatabus.sys
"NVIDIA nForce(tm) RAID Class Driver" (nvraid) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nvraid.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SSHDRV86" (SSHDRV86) - ? - C:\WINDOWS\system32\drivers\SSHDRV86.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection Synchronization Driver (version 2.x)" (sfsync02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfsync02.sys
"VMware Virtual Ethernet Adapter Driver" (VMnetAdapter) - "VMware, Inc." - C:\WINDOWS\System32\DRIVERS\vmnetadapter.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 
[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "MCLiteShellExt Class" - ? - C:\Programme\ICQLite\ICQLiteShell.dll
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
 
[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "Yahoo! Toolbar" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{39B0684F-D7BF-4743-B050-FDC3F48F7E3B} "FilePlanet Download Control Class" - "FilePlanet.com, a division of IGN Entertainment" - C:\WINDOWS\Downloaded Program Files\FPDC.dll / hxxp://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.1.87.cab
{A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} "InetDownload Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\WMDownload.dll / hxxp://www.adultpark.de/vod/dmd/WMDownload.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{8E0D4DE5-3180-4024-A327-4DFAD1796A8D} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
{2917297F-F02B-4B9D-81DF-494B6333150B} "Minesweeper Flags Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\minesweeper.dll / hxxp://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\legitcheckcontrol.dll / hxxp://go.microsoft.com/fwlink/?linkid=39204
{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} "YInstStarter Class" - "Yahoo! Inc." - C:\Programme\Yahoo!\Common\yinsthelper.dll / C:\Programme\Yahoo!\Common\yinsthelper.dll
{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ Lite" - "ICQ Ltd." - C:\Programme\ICQLite\ICQLite.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 
[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\ovonwack\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"updateMgr" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ATICCC" - ? - "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"  (File found, but it contains no detailed information)
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"EPSON Stylus Photo R200 Series (Kopie 1)" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P40 "EPSON Stylus Photo R200 Series (Kopie 1)" /O6 "USB001" /M "Stylus Photo R200"
"HydraVisionDesktopManager" - "ATI Technologies Inc." - C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"NVRaidService" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvraidservice.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
 
[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"EPSON V6 2KMonitor" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON24.DLL
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
 
[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Google Update Service (gupdate1c9a994ae5bc3aa)" (gupdate1c9a994ae5bc3aa) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"PnkBstrB" (PnkBstrB) - ? - C:\WINDOWS\system32\PnkBstrB.exe  (File found, but it contains no detailed information)
"STI Simulator" (STI Simulator) - ? - C:\WINDOWS\System32\PAStiSvc.exe  (File signed by Microsoft | File found, but it contains no detailed information)
 
[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll
 
[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 
===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

Hier das Log von Bootkit Remover

Code:

ATTFilter

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
 
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive1 at offset 0x00000000`00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
 
     Size  Device Name          MBR Status
 --------------------------------------------
   232 GB  \\.\PhysicalDrive1   Unknown boot code
 
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
 
 
Done;
Press any key to quit...

Keine Ahnung, warum das kommt. Alle anderen Scanner melden das der MBR clean ist. Ich bekomme beim Start von Bootkit Remover eine Meldung, dass ATA_PASSTHROUGH nicht bei mir unterstützt wird (Normale eSATA Platten) und stattdessen SCSI_PASSTHROUGH verwendet wird... auch wenn ich keine SCSI Platten habe. Siehe hierzu auch angehängtes Bild. Vermute hier eher einen Bug in der Software. Einen fix des MBR habe ich mit dem remover.exe nicht durchgeführt.

Gruß
Olaf

cosinus · 27.09.2010, 22:25

Ja der MBR sieht auch ok aus, die Prüfsumme die der Bootkit Remover ausspurckt kommt mit bekannt vor. Lass uns aber sichergehen:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

ovonwack · 28.09.2010, 08:10

Hallo Arne,

hier das Ergebnis von MBR-Check:

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000003d

Kernel Drivers (total 149):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA0B8000 ohci1394.sys
  0xBA0C8000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
  0xBA0D8000 MountMgr.sys
  0xB9F48000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F22000 dmio.sys
  0xBA330000 PartMgr.sys
  0xB9F11000 nvraid.sys
  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xBA338000 sfsync02.sys
  0xBA0F8000 VolSnap.sys
  0xB9EF9000 atapi.sys
  0xB9EE3000 nvatabus.sys
  0xB9ECC000 nvata.sys
  0xBA108000 disk.sys
  0xB9EAC000 fltmgr.sys
  0xB9E9A000 sr.sys
  0xBA118000 Lbd.sys
  0xBA128000 PxHelp20.sys
  0xB9E83000 KSecDD.sys
  0xB9DF6000 Ntfs.sys
  0xB9DC9000 NDIS.sys
  0xBA340000 sfhlp02.sys
  0xBA138000 sfdrv01.sys
  0xBA148000 sbp2port.sys
  0xB9DAF000 Mup.sys
  0xBA178000 \SystemRoot\System32\DRIVERS\nic1394.sys
  0xB9794000 \SystemRoot\System32\DRIVERS\processr.sys
  0xBA438000 \SystemRoot\System32\DRIVERS\usbohci.sys
  0xB8CA2000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xBA440000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB8A6A000 \SystemRoot\system32\drivers\ALCXWDM.SYS
  0xB8A46000 \SystemRoot\system32\drivers\portcls.sys
  0xB9784000 \SystemRoot\system32\drivers\drmk.sys
  0xB8A23000 \SystemRoot\system32\drivers\ks.sys
  0xB9774000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA2E8000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xB9764000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xBA448000 \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys
  0xBA550000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
  0xB89E3000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
  0xB89B0000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
  0xB84FA000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xB84E6000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB84BE000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA624000 \SystemRoot\system32\DRIVERS\ASACPI.sys
  0xBA480000 \SystemRoot\System32\DRIVERS\fdc.sys
  0xB8D06000 \SystemRoot\System32\DRIVERS\serial.sys
  0xB981C000 \SystemRoot\System32\DRIVERS\serenum.sys
  0xB75F0000 \SystemRoot\System32\DRIVERS\parport.sys
  0xBA78E000 \SystemRoot\system32\drivers\msmpu401.sys
  0xB9818000 \SystemRoot\System32\DRIVERS\gameenum.sys
  0xBA78F000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xBA258000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xBA544000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xB75D9000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xBA268000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xBA278000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xBA378000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xBA380000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xBA388000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xB75A9000 \SystemRoot\System32\DRIVERS\rdpdr.sys
  0xBA288000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xBA390000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xBA398000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xBA62C000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xB754B000 \SystemRoot\System32\DRIVERS\update.sys
  0xBA548000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xBA298000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xBA62E000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xB61C2000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB61B2000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
  0xA8C1D000 \SystemRoot\system32\drivers\AtiHdmi.sys
  0xBA460000 \SystemRoot\System32\DRIVERS\flpydisk.sys
  0xA8BCF000 \??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
  0xA1320000 \SystemRoot\System32\DRIVERS\usbccgp.sys
  0xBA614000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA787000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA618000 \SystemRoot\System32\Drivers\Beep.SYS
  0xA0EAE000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
  0xBA490000 \SystemRoot\System32\drivers\vga.sys
  0xBA63A000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA64E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB6C29000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB6C09000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xA749A000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0x98FD6000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB6CF9000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0x98C57000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0x98910000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x9875F000 \SystemRoot\System32\drivers\afd.sys
  0xB68AD000 \SystemRoot\System32\DRIVERS\netbios.sys
  0x983F5000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0x98284000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0x989FB000 \??\C:\WINDOWS\system32\giveio.sys
  0x98D21000 \SystemRoot\System32\Drivers\Fips.SYS
  0x97C3E000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0x98515000 \SystemRoot\system32\DRIVERS\SWUSBFLT.sys
  0x98C33000 \SystemRoot\System32\DRIVERS\hidusb.sys
  0x98623000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
  0x985F3000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0x981EF000 \SystemRoot\System32\DRIVERS\arp1394.sys
  0x981CF000 \SystemRoot\system32\DRIVERS\LVCE.sys
  0x9739E000 \SystemRoot\system32\DRIVERS\LVCam2.dll
  0x97336000 \SystemRoot\system32\DRIVERS\LVCodek2.dll
  0x981AF000 \SystemRoot\system32\DRIVERS\STREAM.SYS
  0x97314000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA5E4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0x98D81000 \SystemRoot\system32\drivers\lvsound2.sys
  0x98D71000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0x9785E000 \SystemRoot\system32\DRIVERS\GcKernel.sys
  0x98438000 \SystemRoot\System32\DRIVERS\mouhid.sys
  0xBA6B4000 \SystemRoot\system32\DRIVERS\HIDSwvd.sys
  0x9842C000 \SystemRoot\System32\DRIVERS\kbdhid.sys
  0x972FD000 \SystemRoot\System32\Drivers\dump_nvata.sys
  0x9959D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0x97EF0000 \SystemRoot\System32\drivers\Dxapi.sys
  0x9803F000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA6F6000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF060000 \SystemRoot\System32\ati2cqag.dll
  0xBF0FC000 \SystemRoot\System32\atikvmag.dll
  0xBF196000 \SystemRoot\System32\atiok3x2.dll
  0xBF1FC000 \SystemRoot\System32\ati3duag.dll
  0xBF563000 \SystemRoot\System32\ativvaxx.dll
  0x93C13000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x98791000 \SystemRoot\System32\DRIVERS\ndisuio.sys
  0x93B96000 \SystemRoot\System32\DRIVERS\mrxdav.sys
  0x987E1000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0x93ADB000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0x9763C000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0x93A0C000 \SystemRoot\System32\DRIVERS\srv.sys
  0xB6CE9000 \SystemRoot\System32\DRIVERS\secdrv.sys
  0x9392F000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA0EDE000 \SystemRoot\system32\drivers\sysaudio.sys
  0x932AE000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 45):
       0 System Idle Process
       4 System
     408 C:\WINDOWS\system32\smss.exe
     468 csrss.exe
     500 C:\WINDOWS\system32\winlogon.exe
     548 C:\WINDOWS\system32\services.exe
     560 C:\WINDOWS\system32\lsass.exe
     748 C:\WINDOWS\system32\ati2evxx.exe
     764 C:\WINDOWS\system32\svchost.exe
     816 svchost.exe
     892 C:\WINDOWS\system32\svchost.exe
     976 svchost.exe
    1020 svchost.exe
    1060 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
    1140 C:\WINDOWS\system32\ati2evxx.exe
    1240 C:\WINDOWS\system32\spoolsv.exe
    1288 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1372 svchost.exe
    1584 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1600 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    1632 C:\Programme\Bonjour\mDNSResponder.exe
    1780 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1808 C:\Programme\Java\jre6\bin\jqs.exe
    1852 C:\WINDOWS\system32\PnkBstrA.exe
     188 C:\WINDOWS\system32\PAStiSvc.exe
     228 C:\WINDOWS\system32\svchost.exe
     324 wdfmgr.exe
     996 C:\WINDOWS\system32\wuauclt.exe
    1424 C:\WINDOWS\explorer.exe
    2116 C:\WINDOWS\system32\nvraidservice.exe
    2168 C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVComS.exe
    2184 C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
    2200 C:\WINDOWS\SoundMan.exe
    2208 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2236 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    2252 wmiprvse.exe
    2384 C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    3000 unsecapp.exe
    3276 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    3288 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    3568 alg.exe
     296 C:\Programme\Mozilla Firefox\firefox.exe
    1964 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
    1360 C:\Programme\Mozilla Firefox\plugin-container.exe
    2796 C:\Dokumente und Einstellungen\ovonwack\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x0000000c`34f2cc00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive1 Model Number: ST3250823AS, Rev: 3.01    
PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.01    

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive1   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

Google Seiten wurden umgeleitet -> Log-File Check

Log-Analyse und Auswertung: Google Seiten wurden umgeleitet -> Log-File Check