50 TAN Trojaner bei VR-Bank?

ExaBit · 05.10.2010, 22:32

Hallo miteinander,

nachdem beim Zugriff auf die VR-Bank auf einmal ein Fenster erschien, dass zur Eingabe von 50 TANs aufforderte (6 Spalten a 10 TANs) habe ich mich hier mal umgesehen und gemäß der "Larusso Anleitung" mal hoffentlich alles so durchgeführt wie gefordert.

Im voraus erstmal danke für Eure tolle Arbeit, dass Ihr den Leuten so super helft!

Hier sind die Logs:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4747

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.10.2010 19:29:26
mbam-log-2010-10-05 (19-29-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 149031
Laufzeit: 5 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
---------------------------------------
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:38 on 05/10/2010 (*****)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-
---------------------------------------GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-05 20:52:37
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: E:\TEMP\kwldafow.sys
 
 
---- Kernel code sections - GMER 1.0.15 ----
 
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xAA726A80]
 
---- User code sections - GMER 1.0.15 ----
 
.text C:\WINDOWS\system32\winlogon.exe[532] ntdll.dll!NtSetValueKey 7C91DDCE 5 Bytes JMP 01A93EA8 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!InternetCloseHandle 408C4261 5 Bytes JMP 017EF5A0 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!HttpQueryInfoA 408C7425 5 Bytes JMP 017EF560 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!HttpOpenRequestA 408CAA7B 5 Bytes JMP 017ED354 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!InternetConnectA 408CB0D2 5 Bytes JMP 017ED08C 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!InternetReadFile 408D13D4 5 Bytes JMP 017EF358 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!InternetQueryDataAvailable 408D1615 5 Bytes JMP 017EF064 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!InternetOpenA 408D3081 5 Bytes JMP 017ED038 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!HttpSendRequestA 408D3558 5 Bytes JMP 017EDFF8 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!HttpSendRequestW 408DFDF9 5 Bytes JMP 017EE688 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!InternetReadFileExW 408E334C 5 Bytes JMP 017EF510 
.text C:\WINDOWS\Explorer.EXE[972] WININET.dll!InternetReadFileExA 408E3384 5 Bytes JMP 017EF4C0 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!InternetCloseHandle 408C4261 5 Bytes JMP 0148F5A0 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!HttpQueryInfoA 408C7425 5 Bytes JMP 0148F560 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!HttpOpenRequestA 408CAA7B 5 Bytes JMP 0148D354 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!InternetConnectA 408CB0D2 5 Bytes JMP 0148D08C 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!InternetReadFile 408D13D4 5 Bytes JMP 0148F358 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!InternetQueryDataAvailable 408D1615 5 Bytes JMP 0148F064 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!InternetOpenA 408D3081 5 Bytes JMP 0148D038 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!HttpSendRequestA 408D3558 5 Bytes JMP 0148DFF8 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!HttpSendRequestW 408DFDF9 5 Bytes JMP 0148E688 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!InternetReadFileExW 408E334C 5 Bytes JMP 0148F510 
.text C:\Programme\Mozilla Firefox\firefox.exe[2816] wininet.dll!InternetReadFileExA 408E3384 5 Bytes JMP 0148F4C0 
 
---- EOF - GMER 1.0.15 ----

--- --- ---
---------------------------------------------OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 05.10.2010 21:01:53 - Run 1
OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\*****\Desktop\MFTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 633,00 Mb Available Physical Memory | 62,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 3 32E:\pagefile.sys 256 512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 10,94 Gb Free Space | 37,35% Space Free | Partition Type: NTFS
Drive D: | 244,14 Gb Total Space | 234,72 Gb Free Space | 96,14% Space Free | Partition Type: NTFS
Drive E: | 24,65 Gb Total Space | 23,98 Gb Free Space | 97,27% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: *****PC
Current User Name: *****
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.10.05 19:11:35 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\MFTools\OTL.exe
PRC - [2008.10.24 15:27:13 | 000,068,865 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe
PRC - [2008.10.24 15:27:09 | 000,151,297 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
PRC - [2008.07.18 12:07:51 | 000,266,497 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.03 19:37:36 | 000,835,584 | ---- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\ControlCenter3\BrccMCtl.exe
PRC - [2008.02.19 08:22:08 | 001,089,536 | R--- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
PRC - [2008.01.31 17:29:06 | 000,196,608 | R--- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
PRC - [2007.03.14 03:43:44 | 000,083,608 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.10.05 19:11:35 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\MFTools\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2008.10.24 15:27:13 | 000,068,865 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler)
SRV - [2008.10.24 15:27:09 | 000,151,297 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService)
SRV - [2005.11.14 01:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.05.27 17:14:12 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt)
DRV - [2009.05.27 17:14:10 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avgio.sys -- (avgio)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.07.19 03:52:18 | 000,034,048 | R--- | M] (Attansic Technology corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\atl01_xp.sys -- (AtcL001)
DRV - [2006.01.30 12:18:00 | 000,023,552 | R--- | M] (Telekom) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwrnusb.sys -- (fwrnusb)
DRV - [2005.12.22 04:22:18 | 000,005,685 | R--- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsIO.sys -- (AsIO)
DRV - [2005.10.05 11:21:10 | 000,141,312 | R--- | M] (Analog Devices, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService)
DRV - [2005.08.11 07:49:28 | 000,393,088 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2004.10.27 15:21:30 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.10.15 12:50:20 | 000,015,295 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrScnUsb.sys -- (BrScnUsb)
DRV - [2004.08.13 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.17 12:40:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.17 12:40:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.03.17 21:07:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2008.05.13 18:14:04 | 000,000,000 | ---D | M]
 
[2008.08.27 15:33:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Extensions
[2010.10.05 08:45:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\9mxyh8ot.default\extensions
[2009.08.08 20:22:29 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\9mxyh8ot.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.02.08 18:01:05 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\9mxyh8ot.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2007.10.23 08:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\9mxyh8ot.default\extensions\de-AT@dictionaries.addons.mozilla.org
[2010.10.05 08:45:38 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.15 09:05:19 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.15 09:05:19 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.15 09:05:19 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.15 09:05:19 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.15 09:05:19 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2007.04.09 16:46:37 | 000,093,138 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1    babe.the-killer.bz
O1 - Hosts: 127.0.0.1    www.babe.the-killer.bz
O1 - Hosts: 127.0.0.1    babe.k-lined.com
O1 - Hosts: 127.0.0.1    www.babe.k-lined.com
O1 - Hosts: 127.0.0.1    did.i-used.cc
O1 - Hosts: 127.0.0.1    www.did.i-used.cc
O1 - Hosts: 127.0.0.1    coolwwwsearch.com
O1 - Hosts: 127.0.0.1    www.coolwwwsearch.com
O1 - Hosts: 127.0.0.1    coolwebsearch.com
O1 - Hosts: 127.0.0.1    www.coolwebsearch.com
O1 - Hosts: 127.0.0.1    hi.studioaperto.net
O1 - Hosts: 127.0.0.1    www.hi.studioaperto.net
O1 - Hosts: 127.0.0.1    webbrowser.tv
O1 - Hosts: 127.0.0.1    www.webbrowser.tv
O1 - Hosts: 127.0.0.1    wazzupnet.com
O1 - Hosts: 127.0.0.1    www.wazzupnet.com
O1 - Hosts: 127.0.0.1    gueb.com
O1 - Hosts: 127.0.0.1    www.gueb.com
O1 - Hosts: 127.0.0.1    kabex.com
O1 - Hosts: 127.0.0.1    www.kabex.com
O1 - Hosts: 127.0.0.1    hityou.com
O1 - Hosts: 127.0.0.1    www.hityou.com
O1 - Hosts: 127.0.0.1    miosearch.com
O1 - Hosts: 127.0.0.1    www.miosearch.com
O1 - Hosts: 3236 more lines...
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: () - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_01\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O27 - HKLM IFEO\userinit.exe: Debugger - C:\WINDOWS\system32\winzlogon.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.04.08 17:56:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{d6a627fb-1491-11df-8119-0018f3744f51}\Shell\AutoRun\command - "" = H:\.\thomas_godoj.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 - File not found
NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found
NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: Wmi - C:\WINDOWS\System32\wmi.dll (Microsoft Corporation)
NetSvcs: WmdmPmSp - File not found
 
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.ac3acm - C:\WINDOWS\System32\ac3acm.acm (fccHandler)
Drivers32: msacm.divxa32 - C:\WINDOWS\System32\divxa32.acm (Kristal StudioDFileDescription)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.imc - C:\WINDOWS\System32\IMC32.acm (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.lameacm - C:\WINDOWS\System32\lameACM.acm (hxxp://www.mp3dev.org/)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: msacm.vorbis - C:\WINDOWS\System32\vorbis.acm (HMS hxxp://hp.vector.co.jp/authors/VA012897/)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: VIDC.FFDS - C:\WINDOWS\System32\ff_vfw.dll ()
Drivers32: VIDC.HFYU - C:\WINDOWS\System32\huffyuv.dll (Disappearing Inc.)
Drivers32: vidc.i263 - C:\WINDOWS\System32\I263_32.drv (Intel Corporation)
Drivers32: vidc.I420 - C:\WINDOWS\System32\i420vfw.dll (www.helixcommunity.org)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.wmv3 - C:\WINDOWS\System32\WMV9VCM.dll (Microsoft Corporation)
Drivers32: VIDC.XVID - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\yv12vfw.dll (www.helixcommunity.org)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902109354000384)
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.10.05 19:51:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Kleine Filme
[2010.10.05 19:47:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Verschiedene Dokumente
[2010.10.05 19:43:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Rezepte
[2010.10.05 19:20:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.10.05 19:19:58 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010.10.05 19:12:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
[2010.10.05 19:12:22 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.05 19:12:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.05 19:12:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.05 19:12:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.05 19:10:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\MFTools
 
========== Files - Modified Within 90 Days ==========
 
[2010.10.05 19:50:45 | 000,001,814 | ---- | M] () -- C:\WINDOWS\WINCMD.INI
[2010.10.05 19:45:42 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Verknüpfung mit TOTALCMD.EXE.lnk
[2010.10.05 19:40:49 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.05 19:40:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.05 19:40:16 | 004,456,448 | -H-- | M] () -- C:\Dokumente und Einstellungen\*****\NTUSER.DAT
[2010.10.05 19:40:16 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\*****\ntuser.ini
[2010.10.05 19:40:10 | 006,391,176 | -H-- | M] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.10.05 19:38:21 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\defogger_reenable
[2010.10.05 19:19:58 | 000,000,597 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\NTREGOPT.lnk
[2010.10.04 07:05:18 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.15 21:09:24 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.08.14 19:41:22 | 000,000,049 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.08.12 06:51:32 | 000,144,424 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.11 20:51:30 | 001,024,324 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.11 20:51:30 | 000,458,806 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.11 20:51:30 | 000,440,820 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.11 20:51:30 | 000,084,516 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.11 20:51:30 | 000,071,138 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
 
========== Files Created - No Company Name ==========
 
[2010.10.05 19:45:28 | 000,000,660 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Verknüpfung mit TOTALCMD.EXE.lnk
[2010.10.05 19:38:21 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\defogger_reenable
[2010.10.05 19:19:58 | 000,000,597 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\NTREGOPT.lnk
[2010.05.04 06:43:00 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.07.14 19:43:36 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.07.14 19:43:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009.07.14 19:37:12 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2009.05.24 15:45:28 | 000,096,540 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\mdbu.bin
[2009.05.24 12:28:12 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2009.05.24 12:27:58 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009.02.12 09:28:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\~tmp.INI
[2008.02.25 18:03:24 | 000,000,940 | ---- | C] () -- C:\WINDOWS\disney.ini
[2007.07.14 16:44:48 | 000,024,576 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.06.10 16:57:14 | 000,000,022 | ---- | C] () -- C:\WINDOWS\kodakpcd.*****.ini
[2007.06.08 12:20:16 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.04.15 19:14:39 | 000,000,046 | ---- | C] () -- C:\WINDOWS\hmview.ini
[2007.04.15 18:09:07 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.04.15 17:54:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MSREGUSR.INI
[2007.04.15 17:28:04 | 000,001,814 | ---- | C] () -- C:\WINDOWS\WINCMD.INI
[2007.04.09 16:07:31 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.04.08 18:58:59 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2007.04.08 18:58:59 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2007.04.08 18:58:58 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2007.04.08 18:58:58 | 000,005,120 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2007.04.08 18:58:58 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2007.04.08 18:18:06 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2007.04.08 18:18:06 | 000,005,685 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2007.04.08 18:18:04 | 000,005,120 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp64.sys
[2007.04.08 18:18:04 | 000,003,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp32.sys
[2007.04.08 18:01:44 | 000,018,017 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2007.04.08 18:01:41 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2007.04.08 18:01:34 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2009.05.24 12:28:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALDI Sued Foto Service
[2009.05.24 12:28:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aldi Sued Fotoservice
[2010.10.05 18:29:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
[2009.07.14 19:37:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2009.08.15 19:13:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
[2007.04.15 18:50:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Thunderbird
[2009.12.25 20:52:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Zeitplan
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2007.04.08 17:56:16 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2007.04.08 17:49:56 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2006.02.28 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2007.04.08 17:56:16 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.07.14 18:09:26 | 000,000,491 | ---- | M] () -- C:\hpfr5550.xml
[2007.04.08 17:56:16 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2007.04.08 17:56:16 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2006.02.28 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.10.26 16:12:27 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2008.03.26 11:59:59 | 000,000,060 | ---- | M] () -- C:\PhyPath.ini
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2007.04.08 17:55:55 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007.04.08 19:43:23 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2007.04.08 19:43:23 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2007.04.08 19:43:23 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 04:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 04:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE >
[2006.02.28 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
[2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2007.06.13 15:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: WINLOGON.EXE >
[2006.02.28 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-09-29 18:52:55
< End of report >

--- --- ---
--------------------------------OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 05.10.2010 21:01:53 - Run 1
OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\*****\Desktop\MFTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 633,00 Mb Available Physical Memory | 62,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 3 32E:\pagefile.sys 256 512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 10,94 Gb Free Space | 37,35% Space Free | Partition Type: NTFS
Drive D: | 244,14 Gb Total Space | 234,72 Gb Free Space | 96,14% Space Free | Partition Type: NTFS
Drive E: | 24,65 Gb Total Space | 23,98 Gb Free Space | 97,27% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: *****PC
Current User Name: *****
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{09F55516-AC75-43EA-8127-292E5A28B7DF}" = Monster Trux Extreme - Offroad Edition
"{1F698102-5739-441E-96F0-74F4EA540F06}" = Attansic Ethernet Utility
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 13
"{2BC2781A-F7F6-452E-95EB-018A522F1B2C}" = PaperPort Image Printer
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3A08B59E-A9F0-4F4D-B7E5-6875D7F13327}" = Brother MFL-Pro Suite DCP-385C
"{5F87EF36-A373-11D5-AA2E-0008C760B784}" = Monster Training Einmaleins
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7A8FF745-BBC5-482B-88E4-18D3178249A9}" = ScanSoft PaperPort 11
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{977CD9E4-2CE7-46AC-BBEC-FC2B9696464B}" = Marine Park Empire
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBCE950A-61C3-4597-AB6F-CB5AFE74E16F}" = Eumex 800 V1.10
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F7338FA3-DAB5-49B2-900D-0AFB5760C166}" = PC Probe II
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ALDI Süd Foto Service D" = ALDI Süd Foto Service
"Aldi Süd Fotoservice_is1" = Aldi Süd Fotoservice
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"AtcL1" = Attansic L1 Gigabit Ethernet Driver
"ERUNT_is1" = ERUNT 1.1j
"hp digital copier 410_Driver" = hp digital copier 410
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{977CD9E4-2CE7-46AC-BBEC-FC2B9696464B}" = Marine Park Empire
"InstallShield_{CBCE950A-61C3-4597-AB6F-CB5AFE74E16F}" = Eumex 800 V1.10
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 1.62
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McDonald's Dragons " = McDonald's Dragons
"McDonald's Fairies " = McDonald's Fairies
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Physikus_is1" = Physikus Teil3 ´07
"PrintMaster 7.00" = PrintMaster 7.00
"Serif DrawPlus 3.0" = Serif DrawPlus 3.0
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4
"ST6UNST #1" = PIN-Backwaren V1.0 mit Rezepturen
"WebPost" = Microsoft Web Publishing Wizard 1.52
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"ZeitplanDemo" = ZeitplanDemo
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"GP Vs Superbike" = GP Vs Superbike
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 03.02.2010 14:42:42 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avnotify.exe, Version 8.0.10.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.02.2010 03:39:27 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3642, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 14.02.2010 09:10:38 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3642, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 19.02.2010 12:46:12 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3685, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 24.02.2010 05:55:02 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3685, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 20.04.2010 05:10:10 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.05.2010 04:34:15 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 03.06.2010 03:00:08 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.06.2010 11:20:23 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 23.08.2010 08:02:13 | Computer Name = *****PC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 9.0.0.2823, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 01.09.2010 02:12:54 | Computer Name = *****PC | Source = Print | ID = 54
Description = Dokument saetze.pdf war beschädigt und wurde gelöscht. Der zugewiesene
Treiber ist: Brother DCP-385C Printer.
 
Error - 05.10.2010 12:41:26 | Computer Name = *****PC | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 05.10.2010 13:14:05 | Computer Name = *****PC | Source = Service Control Manager | ID = 7034
Description = Dienst "AntiVir PersonalEdition Classic Planer" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.
 
Error - 05.10.2010 13:14:05 | Computer Name = *****PC | Source = Service Control Manager | ID = 7034
Description = Dienst "AntiVir PersonalEdition Classic Guard" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.
 
 
< End of report >

--- --- ---

Ich hoffe soweit ok.

Gruß ExaBit

P.S.: Muss leider mit IE posten, da Firefox beim Posten abstürzt... :-(

Chris4You · 06.10.2010, 07:02

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\winzlogon.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:

Code:

ATTFilter

C:\WINDOWS\system32\winzlogon.exe

hoch.

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL
O27 - HKLM IFEO\userinit.exe: Debugger - C:\WINDOWS\system32\winzlogon.exe ()
O33 - MountPoints2\{d6a627fb-1491-11df-8119-0018f3744f51}\Shell\AutoRun\command - "" = H:\.\thomas_godoj.exe -- File not found

:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

chris

ExaBit · 06.10.2010, 20:52

Die Winzlogon.exe lässt sich nicht lesen oder kopieren (was auf das selbe rauskommt).
Interessant ist, dass sie dasselbe Datum und dieselbe Uhrzeit zeigt wie die meisten Dateien im System32-Verzeichnis.
Werde wohl die Platte ausbauen müssen und an einem fremden Rechner die Datei kopieren und dann löschen müssen...

Danke derweil... ich melde mich wieder.

Grüße ExaBit

Chris4You · 09.10.2010, 19:48

Hi,

lösche die Datei nicht, sondern lade sie hier hoch...
Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:

Code:

ATTFilter

C:\WINDOWS\system32\winzlogon.exe

hoch.

Es kann auch noch CF zum Einsatz kommen, wenn Du nicht schon die Platte ausgebaut hast...

chris

ExaBit · 10.10.2010, 17:23

Hallo miteinander,

nach Ausbau der Platte bin ich dann gut drangekommen an die Datei und habe sie Euch eben hochgeladen.
Nach Löschen der Datei auf der verseuchten Platte kam das System nicht mehr hoch.
Nur noch bis zum Anmeldebildschirm, und nach Klick auf einen Benutzer wurde der vom Windows sofort wieder abgemeldet, so dass man wieder beim Anmeldebildschirm landete.
Irgendwo war die Registry wohl auf die winzlogon verbogen, habe das bei meinem eigenen System noch gesucht und wollte vergleichen bin aber innnerhalb einer Stunde zu keinem Ergebnis gekommen.
Neuaufsetzen des Systems dauerte kürzer, Trennung von System- und Datenpartition sei Dank.

Danke Euch allen für Eure Hilfe

Gruß ExaBit

P.S.: Die verseuchte Registry habe ich noch rumliegen, braucht Ihr die evtl.?

Chris4You · 10.10.2010, 18:40

Hi,

wäre nicht notwendig gewesen...
Alter Trapper-Trick. Kopiere eine andere Datei, z.B. cmde.exe an die gleiche Stelle und unter den gleichen Namen, dann müsste der Rechner hochfahren.
Dann kann die Reg. bereinigt werden...
In Deinem fall hättes Du also die cmd.exe nach C:\WINDOWS\system32\winzlogon.exe kopieren können...

Danke fürs hochladen...

chris

ExaBit · 10.10.2010, 18:46

Verflixt nochmal, gigantische Idee

Da hätte ich auch draufkommen mögen, man lernt halt nie aus...

Merk' ich mir auf jeden Fall.

Also danke nochmal

ExaBit

50 TAN Trojaner bei VR-Bank?

Plagegeister aller Art und deren Bekämpfung: 50 TAN Trojaner bei VR-Bank?